セッションハイジャックは、Webサイトにおけるセッション情報を利用したサイバー攻撃です。セッションハイジャックは個人や企業に甚大な被害をもたらす恐れがあるため、適切な対策が求められます。
本記事では、セッションハイジャックの基本的な仕組みから主な手口、効果的な対策方法までわかりやすく解説します。
Cloud Mail SECURITYSUITEのサービス資料を受け取る
目次
セッションハイジャックとは
セッションハイジャックとは、Webサービス利用時のセッション情報を悪用し、正規のユーザになりすますサイバー攻撃です。
Webサイトにおけるセッションとは、ユーザがサイトにアクセスしてから離脱するまでの一連の行動のことです。Webサイトは、ユーザに快適なWebサービスを提供するため、個別のセッションIDを発行して「同じユーザが続けて操作していること」を識別します。
攻撃者はこのセッションIDをなんらかの方法で盗み、Webサイト上でユーザ本人であるかのように振る舞い不正な行動を起こします。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るセッションハイジャックの基本的な仕組み
ここからは、セッションハイジャックの基本的な仕組みを解説します。
1. ユーザにセッションIDが発行される
ユーザがWebサイトにアクセスしてログインすると、セッションIDが発行されます。このIDは、CookieやURLパラメータの一部に付与されたあと、ユーザ側のブラウザに保存されます。
これにより、Webサイト側がユーザの操作を同一IDのものとして管理できるようになり、ログイン状態やショッピングカートの中身などが保持できるという仕組みです。
2. 攻撃者がセッションIDを不正に取得する
ユーザに発行されたセッションIDを、攻撃者が不正に取得します。詳しくは後述しますが、主な手口は「IDの推測」「IDの窃取」「IDの固定化」の3パターンです。
いずれの方法でも、ユーザがセッションIDの不正取得にその場で気づくことは困難であり、具体的な被害が発生したあとに発覚するケースが大半です。
3. 攻撃者がユーザになりすます
攻撃者は、不正に取得したセッションIDを使用してWebサイトにアクセスします。Webサイト側はセッションIDで同一ユーザによる操作を識別しているため、正規ユーザと攻撃者からのアクセスを区別することは不可能です。
これにより、攻撃者による不正な操作が正当なものとして処理されてしまい、さまざまな被害に発展する恐れがあります。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るセッションハイジャックの代表的な手口
セッションハイジャックの手口は、主に以下の3パターンに分けられます。
セッションIDの推測
セッションIDの生成規則を解析し、文字列を推測する手口です。攻撃者は、標的のシステムに何度もログインし、セッションIDの生成規則を突き止めます。
この手口は、セッションIDが容易に推測できる場合や、規則性が高い場合にリスクが高まります。例えば、セッションIDが数字の連番や日付、登録名などから生成される場合は、総あたり攻撃によりIDを特定される危険性が高いといえます。
セッションIDの窃取
ユーザとWebサイト間の通信に不正に介入し、ユーザに発行されたセッションIDを直接的に盗み出す手法です。
例えば、URLが「https」ではなく「http」で始まるWebサイトは通信が暗号化されておらず、ユーザとWebサイト間の通信を第三者が不正に傍受できるため、セッションIDを盗まれるリスクが高いといえます。
また、Webサイトの脆弱性を悪用され、セッションIDを窃取されるケースもあります。
セッションIDの固定化(セッションフィクセーション)
あらかじめ攻撃者に発行されたセッションIDをユーザに使用させることで、そのユーザになりすます手口です。
攻撃者はメールやSNSなどを用いて、自分のセッションIDを含むURLをユーザに送りつけます。ユーザがそのURLをクリックすると、攻撃者のセッションIDがユーザに紐づけられ、同一のIDを使用することでユーザのなりすましが可能となるという仕組みです。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るセッションハイジャックによって引き起こされる被害
セッションハイジャックを受けると、以下のような被害が引き起こされる危険性があります。
機密情報や個人情報の漏洩
攻撃者は、正規ユーザになりすましてWebサイトにアクセスすることにより、企業の機密情報やユーザの個人情報を盗み出せてしまいます。企業の場合、顧客情報や社外秘の資料などが漏洩すれば、社会的信用の失墜や損害賠償などにもつながりかねません。
また、不正に入手された情報は、ダークウェブで売買される危険性もあります。
登録情報の漏洩や改ざん
攻撃者がユーザになりすましてWebサービスにログインすることで、登録情報が漏洩したり、情報を改ざんされたりするリスクもあります。
例えば、攻撃者によりオンラインサービスのログイン情報が書き換えられると、正規ユーザはそのサービスを利用できなくなってしまいます。
サーバへの不正侵入
攻撃者は、セッションを乗っ取って正規ユーザになりすますことで、企業のサーバに不正に侵入することが可能です。
これにより、以下のような被害が引き起こされる可能性があります。
- サーバ内のデータが流出する
- Webサイトの情報が改ざんされ、訪問者がフィッシングサイトへ誘導される
- バックドア(攻撃者がシステムに不正侵入するための裏口)を仕掛けられる
クレジットカードの不正利用
ECサイトなどのネットショッピングサービスでは、クレジットカードの不正利用もリスクのひとつです。攻撃者が正規ユーザになりすまして決済手続きを行うことにより、クレジットカードの持ち主に意図せぬ請求が発生する恐れがあります。
クレジットカード会社からの請求が来るまで被害に気付けないことも多く、知らぬ間に多額の被害に発展する場合もあります。
オンラインバンキングの不正送金
銀行などのオンラインバンキングのセッションIDが不正に取得され、正規ユーザが金銭的被害を受けるケースも少なくありません。攻撃者は正規ユーザになりすまして各種手続きができてしまうため、攻撃者の口座に送金されるリスクがあります。
これにより、企業や個人に甚大な経済的損失がもたらされる恐れがあります。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るセッションハイジャックの事例
ここからは、セッションハイジャックの被害事例を紹介します。
事例1. 動画共有サイト
2010年には、大手動画共有サイトにてセッションハイジャックによる不正アクセスが起こりました。
原因はコメント出力データの暗号化処理の脆弱性で、複数のユーザのセッションがジャックされたことで、不正なコードが実行されたと推定されています。これにより、コメントが閲覧できなくなったほか、偽情報を表示するポップアップが出現したり、悪質なWebサイトにリダイレクトされたりなどの被害が起こりました。
事例2. Webサーバソフトウェアサービス
同年、世界中で広く使用されているWebサーバソフトウェアサービスの管理者を標的としたセッションハイジャックも発生しました。
この事例では、サーバ管理者が不正なURLをクリックさせられたことによりセッションを不正取得されました。また、同時に管理システムへの総あたり攻撃も行われており、いずれかの方法により管理者権限が奪われたことで、ユーザのパスワードが漏洩した可能性があります。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るセッションハイジャックの対策方法
セッションハイジャックの被害を防ぐためには、ユーザ1人ひとりが「不審なURLはクリックしない」などの対策を講じることが大切です。
しかし、セッションIDの管理についてはWebサイト運営側に責任があるため、Webサイトの安全性を保つために以下のような対策が求められます。
セッションIDをURLに含めない
セッションIDをURLのパラメータに含めると、攻撃者がセッションIDを容易に取得できてしまいます。
セッションIDはURLではなく、Cookieで管理することが最も一般的かつ推奨されます。これにより、URLからセッションIDが漏洩するリスクを軽減できます。
推測されにくいセッションIDにする
セッションハイジャックを防ぐためには、日付や時刻、ユーザIDなどで構成されたIDや、連番のIDは非推奨です。こうした単純なセッションIDは、総あたり攻撃によりIDを推測されるリスクが高くなります。
セッションIDには十分な長さとランダム性を持たせ、解析困難な値を生成することが大切です。
セッションIDを固定値にしない
セッションIDの固定化(セッションフィクセーション)によるセッションの不正取得を防ぐためには、IDを固定値にしないことが有効です。具体的には、ユーザがログインに成功した時点で既存のセッションIDを無効化し、新しいセッションIDを付与して管理することが推奨されます。
ログインの度に新しいセッションIDを付与すれば、ログイン前に攻撃者が取得していたセッションIDによるなりすましを防ぐことが可能です。
WAFを利用する
WAF(Web Application Firewall)とは、Webアプリケーションの脆弱性を狙った攻撃を防御するためのファイアウォールです。
WAFを利用することで、セッションIDの窃取に悪用される可能性のある「クロスサイトスクリプティング(XSS)」などの攻撃によるリスクを低減できます。なお、WAF単体では完全な防御は不可能であり、アプリケーション側の対策も重要です。
セキュリティサービスを利用する
セッションハイジャック対策には、セキュリティサービスの導入も有効です。例えば、Webサイトの脆弱性診断サービスを利用すれば、自社のWebサイトの脆弱性の有無が明らかになり、必要な対策を講じられるようになります。
セッションハイジャックによる被害は、セッション管理の脆弱性を突かれるケースが多いため、定期的な診断が推奨されます。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るまとめ
セッションハイジャックの標的になると、個人情報の漏洩や登録情報の改ざん、サーバへの不正アクセスなどの被害が発生しかねません。セッションハイジャックはユーザにとって大きな脅威となるため、Webサイト運営側には万全の対策が求められます。
また、メール経由で不正なURLが送られるケースも多いため、メールセキュリティの強化も重要です。
メールのセキュリティ対策を強化するなら、「Cloud Mail SECURITYSUITE」がおすすめです。
アンチウイルスやフィッシング対策、誤送信対策などの多様な機能により、「Microsoft 365」と「Google Workspace」のメールセキュリティを強化します。貴社に必要な機能だけを選択でき、月額200円からとリーズナブルな価格で導入可能です。
