セッションハイジャック

セッションハイジャックとは、コンピューター通信で利用されるセッション（通信の確立）情報を窃取し、本人（クライアントやサーバー）になりすまして通信を行うサイバー攻撃のことです。WebサイトやWebサービスの不正利用を主な目的としています。

＊セッションとは、接続を開始してから切断するまでの一連の通信のことを言います。例えば、Webページにアクセスしたユーザーが、IDとPWを入力してログインを行い、その後、ログアウトするまでが1セッションです。

Webアプリの中には快適なサービスを提供するために、ユーザー毎にセッションIDやCookie情報を生成し、個人認証を行って、通信をやりとりしているものがあります。セッションハイジャックはこれらの情報を何らかの方法で盗んで、ユーザーになりすますという攻撃です。

＊セッションIDとは、Webサイトにアクセスしたユーザーのセッションを一意に識別するために、WebサーバやWebアプリがユーザーに付与する識別用のIDのことです。

近年では、LINEでアカウントの乗っ取りが発生したことがありますが、これはセッションハイジャックによるものと言えます。

＜セッションハイジャックが起こる仕組み＞
(1)セッションIDが日付や連番、登録名といった、推測しやすい文字列で構成されている場合
攻撃者は正規の経路でWebサイトに何度かアクセスし、その度に生成されるセッションIDの法則を見つけ出します。そして、正規ユーザーがログインしたタイミングを見計らい、同じIDを使って本人になりすますことができます。

(2)不正アクセスによってセッションIDが盗難される場合
攻撃者は何らかの方法で正規ユーザーとWebアプリの間に介入し、ネットワークの情報を傍聴したり、正規ユーザーを全く別のページへ誘導することで、セッションIDを盗難します。

(3)強制的に目的のセッションIDを正規ユーザーに使わせる場合
攻撃者は正規に取得したセッションIDを何らかの方法で正規ユーザーに利用させ、正規ユーザーがWebサイトにログインするのを確認したら、攻撃者も同じセッションIDを使って不正ログインを働きます。基本的に正規ユーザーは強制的にセッションIDを使わされていることに気づきません。

セッションハイジャックの被害発生を防ぐには攻撃者にセッションIDを察知されないようにすることが大事です。
(1)セッションIDを推測困難なものにする。

(2)セッションIDをワンタイム化する。

(3)URLにセッションIDを含めない。
​WebサービスとブラウザはセッションIDをやり取りする際、URLにセッションIDを含んでいることがあるので、CookieにセッションIDを含めるか、フォームデータのhiddenフィールドでやり取りする方法に切り替えるのが良いでしょう。

(4)SSL通信でセッションIDを難読にする。
SSL暗号化通信では、セッションIDも暗号化できるので、攻撃者による推測や盗難を防ぐのに効果的です。
​
(5)WAFによる対策をとる。
WAFとは、Webアプリケーションの脆弱性を狙ったサーバー攻撃に対するセキュリティ製品で、攻撃者によるセッションIDやCookieの盗難・不正利用を防ぎ、Webサイトを保護することができます。