• ホーム
  • スタートアップガイド
  • 障害・メンテナンス情報
  • マイページ
  • 会社情報
セブンアーチザンのサポート情報
  • ホーム
  • スタートアップガイド
  • 障害・メンテナンス情報
  • マイページ
  • 会社情報

用語集

セッションハイジャック

8/22/2018

 
セッションハイジャックとは、コンピューター通信で利用されるセッション(通信の確立)情報を窃取し、本人(クライアントやサーバー)になりすまして通信を行うサイバー攻撃のことです。WebサイトやWebサービスの不正利用を主な目的としています。

*セッションとは、接続を開始してから切断するまでの一連の通信のことを言います。例えば、Webページにアクセスしたユーザーが、IDとPWを入力してログインを行い、その後、ログアウトするまでが1セッションです。

Webアプリの中には快適なサービスを提供するために、ユーザー毎にセッションIDやCookie情報を生成し、個人認証を行って、通信をやりとりしているものがあります。セッションハイジャックはこれらの情報を何らかの方法で盗んで、ユーザーになりすますという攻撃です。

*セッションIDとは、Webサイトにアクセスしたユーザーのセッションを一意に識別するために、WebサーバやWebアプリがユーザーに付与する識別用のIDのことです。

近年では、LINEでアカウントの乗っ取りが発生したことがありますが、これはセッションハイジャックによるものと言えます。

<セッションハイジャックが起こる仕組み>
(1)セッションIDが日付や連番、登録名といった、推測しやすい文字列で構成されている場合
攻撃者は正規の経路でWeb
サイトに何度かアクセスし、その度に生成されるセッションIDの法則を見つけ出します。そして、正規ユーザーがログインしたタイミングを見計らい、同じIDを使って本人になりすますことができます。

(2)不正アクセスによってセッションIDが盗難される場合
攻撃者は何らかの方法で正規ユーザーとWeb
アプリの間に介入し、ネットワークの情報を傍聴したり、正規ユーザーを全く別のページへ誘導することで、セッションIDを盗難します。

(3)強制的に目的のセッションIDを正規ユーザーに使わせる場合
攻撃者は正規に取得したセッションID
を何らかの方法で正規ユーザーに利用させ、正規ユーザーがWebサイトにログインするのを確認したら、攻撃者も同じセッションIDを使って不正ログインを働きます。基本的に正規ユーザーは強制的にセッションIDを使わされていることに気づきません。

セッションハイジャックの被害発生を防ぐには攻撃者にセッションIDを察知されないようにすることが大事です。
(1
)セッションIDを推測困難なものにする。

(2
)セッションIDをワンタイム化する。

(3
)URLにセッションIDを含めない。
​Webサービスとブラウザはセッション
IDをやり取りする際、URLにセッションIDを含んでいることがあるので、CookieにセッションIDを含めるか、フォームデータのhiddenフィールドでやり取りする方法に切り替えるのが良いでしょう。

(4)SSL通信でセッションIDを難読にする。
SSL暗号化通信では、セッションIDも暗号化できるので、攻撃者による推測や盗難を防ぐのに効果的です。
​

(5)WAFによる対策をとる。
WAFとは、Webアプリケーションの脆弱性を狙ったサーバー攻撃に対するセキュリティ製品で、攻撃者によるセッションIDやCookieの盗難・不正利用を防ぎ、Webサイトを保護することができます。

コメントはクローズされています。

    カテゴリ

    すべて
    DNS
    IPアドレス
    RAID
    SSL
    WEB
    インターネット
    インターフェース
    ウィルス
    サーバ
    セキュリティ
    ドメイン
    ネットワーク
    ハッシュ
    ファイアウォール
    ファイル
    ファイル
    メール
    ロードバランサー

    RSS フィード

ワンコイン99円サーバー
ワンコインで簡単にサイト制作!大容量で対応致します。
信頼のグランパワー
わかりやすいインターフェース、信頼のサービスで、初心者でも利用可能です。
制限なしの無限サーバー
ウェブサイト構築に特化した無限サーバ、アカウントのデータ容量も気にせず利用できます。
​大容量ギガレンタルサーバー
大容量かつ、DB、ドメイン無制限で、たくさんのサイトの構築も可能です!
ワードプレス最適化サーバー
ワードプレスに最適化した高速サーバー。転送量無制限
今すぐ使えるクラスCIP分散 CIPserver
IPアドレスをクラスCで分散したレンタルサーバー
マルチドメインのIP分散 TICserver
クラスCのIP分散をマルチドメインで運用可能。しかも格安。
セキュリティ対策サイトロック
24時間ウェブサイトを守ります。
無料ホームページ TOK2
無料ホームページで作成。容量無制限・商用無制限で、PHP・CGI ・FTP・ファイルマネージャーまで使えます。
​​​TOK2プロフェッショナル
​わかりやすいインターフェース、信頼のサービスで、初心者でも利用可能です。


日本最安で購入できるドメイン販売はこちら
サーバーと一緒にドメインをご契約頂ければ管理もスムーズです。
無料ホームページと無料ブログ sitemix
ホームページスペースとブログ機能が標準装備。広告・商用利用可能、独自ドメイン可能、PHPも使えます。
二段階定額制レンタルサーバーBfit
二段階定額制レンタルサーバー
SSLレンタルサーバーBfitセキュア
SSLレンタルサーバーが月額300円で利用可能。大事なデータを暗号化。あなたの情報を守ります。
Bfitドメイン
大容量かつ、DB、ドメイン無制限で、たくさんのサイトの構築も可能です!
​​法人用レンタルサーバービズサーブ
​快適・高機能・安定性ある法人レンタルサーバー。大容量なのに月額わずか3,500円!初期費用無料!!

© 7artisan.com
  • ホーム
  • スタートアップガイド
  • 障害・メンテナンス情報
  • マイページ
  • 会社情報