企業が堅固な情報セキュリティ体制を構築するには、新システムを導入するだけでなく、既存のサイバー攻撃について知ることも大切です。
また、企業を悩ませるサイバー攻撃の1つに、“セッションハイジャック”が挙げられます。
今回は、セッションハイジャックの概要や原因、対策について詳しく解説したいと思います。
セッションハイジャックの概要
第三者によって、コンピュータ間の通信におけるセッションが乗っ取られるサイバー攻撃を“セッションハイジャック”といいます。
“なりすまし”の手法の1つであり、イメージとしては、他人のクレジットカードを勝手に使用する犯罪と近いです。
近年は、ECサイト等の利用時、ユーザーがIDやパスワードを入力するのが当たり前になっていて、これらのセッション(Web上におけるユーザーの動作)を管理するために、Webサーバもしくはアプリケーションから、“セッションID”というものが付与されます。
セッションハイジャックを行う第三者は、このセッションIDを不正に窃取し、悪用することを目的としています。
ちなみに、個人、企業ともにECサイト等を利用する機会はあるため、いずれかのみがターゲットとなるサイバー攻撃ではありません。
従業員が個々にコンピュータを操作する企業でも、十分注意すべき脅威の1つだと言えます。
セッションハイジャックの原因
企業がセッションハイジャックの被害に遭ってしまう原因には、主に以下の3つが挙げられます。
・わかりやすいIDを使用している
・IDが漏えいする
・IDを固定化される
わかりやすいIDを使用している
例えば、セッションIDが日付や登録名と同じになっていたり、ただ単に数字を羅列したもの(例:123456789)であったりする場合、攻撃者に値を推測されやすくなってしまいます。
これは、そのWebサイトの脆弱性が極めて高いことを表しています。
IDが漏えいする
何かしらの脆弱性を突き、攻撃者に不正アクセスをされることで、セッションIDが漏えいしてしまうこともあります。
具体的には、“クロスサイトスクリプティング”によってユーザーを欺き、不正なサイトにセッションIDを表示させる手法が挙げられます。
クロスサイトスクリプティングとは、ユーザーの入力内容をWebページに表示するWebアプリケーションにおいて、標的サイトの脆弱性を利用したサイバー攻撃のことをいいます。
攻撃者は、入力内容にスクリプト付きのリンクを貼り付けるなどし、ユーザーが誤ってリンクをクリックすると、脆弱性のある別のサイト(標的サイト)に対し、悪意を持った実行内容(スクリプト)が含まれた通信が実行されます。
その結果、不正なサイトにセッションIDなどのユーザー情報が表示されてしまうという仕組みです。
IDを固定化される
IDの固定化とは、“セッションフィクセーション”とも呼ばれるもので、非常に狡猾な手法です。
攻撃者は、まず一般のユーザーとして有効なセッションIDを取得し、次にターゲットとなるユーザーに何らかの罠を仕掛け、すでに取得したIDを強制し、ログインさせます。
その結果、ユーザーは前もってIDを取得していた攻撃者になりすまし行為をされ、さらには情報を悪用されてしまうという仕組みです。
セッションハイジャックの対策
では、セッションハイジャックの被害に遭わないためには、一体どのような対策を取れば良いのでしょうか?
具体的には、以下の対策がおすすめです。
・URLの脆弱性を解消する
・ツールを活用する
・IDを変更する
URLの脆弱性を解消する
これは、セッションハイジャックの対策における、基本中の基本といえます。
WebサイトとユーザーがやりとりするセッションIDは、URLに保持されている場合があります。
これでは、簡単にセッションハイジャックの被害にあってしまうため、CookieによるID管理に変更したり、フォームデータ上のhiddenフィールドでやり取りする方法に変えたりして、脆弱性を解消しましょう。
ツールを活用する
セッションの管理が難しいという場合は、ツールを活用することも検討しましょう。
具体的には、Webアプリケーションあるいはプラットフォームに実装されたものを活用します。
人員などの関係で、自主管理が中途半端になるくらいであれば、こちらの方が断然被害に遭う可能性は下がります。
IDを変更する
セッションIDをワンタイム化(使い捨て)し、ログイン後に新たなIDを発行すれば、攻撃者に入り込む隙を与えずに済みます。
少々手間のかかる作業ではありますが、一度のセッションハイジャックで甚大な被害が出る可能性を考えると、やむを得ないでしょう。
もちろん、企業で実施する際は、一元化されたルールを作成し、従業員への徹底も促す必要があります。
まとめ
ここまで、企業が知っておくべきセッションハイジャックの原因や対策などを解説してきましたが、いかがでしたでしょうか?
セッションハイジャックのように、早期に発見することが難しく、見つけたときにはすでに何かしらのダメージを受けているようなサイバー攻撃は、特に警戒すべきです。
そうしなければ、これまで企業が積み上げてきた実績にキズが付く可能性があります。
