PR
PR
セッションハイジャックとは
セッションハイジャックとは、ユーザーがログインして確立されたセッションを、第三者がCookieやセッションIDを盗み取って乗っ取る攻撃です。攻撃者は本人になりすまし、閲覧や操作、購入、設定変更などを行えます。パスワードを突破しなくても被害が起きる点が特徴です。
Webサービスは一度認証すると、ブラウザはセッションIDをCookieで送り続けます。これが盗まれると、正規ユーザーの要求として受け付けられてしまいます。典型例は、公衆Wi-Fiの盗聴、XSSによるCookie抜き取り、マルウェアによる収集などです。想像としては「鍵そのものではなく、開いているドアの通行証を奪われる」イメージです。
攻撃の核心は、正当なセッションの再利用にあります。対策としては、通信をHTTPSで暗号化し、中間者に盗み見られないようにすることが基本です。さらに、CookieにSecure、HttpOnly、SameSiteの各属性を設定し、スクリプトや他サイト経由で悪用されにくくします。ログインや権限昇格時にはセッションIDを再発行し、一定時間で失効させる設計が有効です。
セッションハイジャックはログイン後の安全を崩す代表的な脅威です。利用者は怪しいリンクや拡張機能を避け、利用後はログアウトしましょう。開発・運用側は堅牢なセッション管理と監視を前提に設計し、平常と異なるアクセスを早期に検知することが重要です。
