セッションハイジャック(Session Hijacking)
概要と特徴
- セッション管理の乗っ取り Webサイトのログイン状態を管理する「セッションID(Session ID)」を第三者が盗取。正規ユーザーになりすまして通信を継続する攻撃手法。
分類
- セッションIDの推測(Session Prediction) 規則性のあるセッションIDから次のIDを予測。
- セッションIDの盗聴(Session Sniffing) 暗号化されていない通信経路(HTTP)からIDを奪取。
- セッションIDの強制(Session Fixation) 攻撃者が用意したセッションIDを標的に使わせる手法。
- クロスサイトスクリプティング(XSS)経由 悪意あるスクリプトでブラウザのCookieを窃取。
上位概念・下位概念
- 上位概念 なりすまし(Spoofing)、中間者攻撃(Man-in-the-Middle Attack)。
- 下位概念 Cookie盗取、セッション固定化攻撃(Session Fixation)。
メリット(攻撃者側)
- パスワード不要のログイン IDとパスワードの再入力なしで認証済みページへアクセス。
- 情報の窃取 個人情報、クレジットカード情報の閲覧。
- 不正操作 設定変更、商品の購入、サービスの退会処理。
デメリット(被害者側)
- プライバシーの侵害 非公開情報の流出。
- 金銭的損失 ECサイト等での不正決済。
- 社会的信用の失墜 法人の場合、管理体制の不備によるブランド毀損。
既存との比較
- ブルートフォース攻撃との比較 パスワードの解析ではなく、認証後の「鍵」を盗むため効率的。
- フィッシングとの比較 偽サイトへ誘導せず、正規サイトの通信を直接横取り。
競合(類似する脅威)
- クロスサイトリクエストフォージェリ(CSRF) ユーザーのブラウザに意図しない操作を強制。セッション奪取そのものは目的としない。
導入ポイント(対策)
- HTTPS(TLS/SSL)の強制 通信の暗号化による盗聴防止。
- Secure属性とHttpOnly属性の付与 Cookieの保護設定。
- セッションIDの再発行 ログイン前後でのID更新。
注意点
- 公共Wi-Fiの利用 未暗号化ネットワークでのセッション盗聴リスク。
- タイムアウト設定 長すぎるセッション有効期限は攻撃の猶予を与える要因。
今後
- FIDO2 / パスキー(Passkeys)の普及 セッション管理に依存しない耐性を持つ認証方式の拡大。
- AIによる異常検知 アクセス元IPや行動パターンの変化を検知するリアルタイム防御。
関連キーワード
- Cookie
- SSL/TLS
- 中間者攻撃(MitM)
- クロスサイトスクリプティング(XSS)
- セッションタイムアウト
