セッションハイジャックとは
この記事は約 2 分で読めます
セッションハイジャック (Session Hijacking) とは、ユーザーのセッション ID を窃取し、 そのユーザーになりすましてサービスにアクセスする攻撃です。セッション ID は ログイン後にサーバーが発行する識別子で、これを奪われるとパスワードを知らなくても 認証済みの状態でサービスを利用されてしまいます。
攻撃手法
XSS (クロスサイトスクリプティング) を利用して Cookie からセッション ID を窃取する方法、 ネットワーク上の通信を傍受してセッション ID を盗む方法、セッション固定攻撃で 事前に用意したセッション ID を使わせる方法などがあります。Web セキュリティの書籍 (Amazon)で攻撃手法と対策を学べます。
対策
HTTPS の使用、Cookie の Secure 属性と HttpOnly 属性の設定、セッション ID の 定期的な再生成が基本的な対策です。パスつく.com で強力なパスワードを設定し、 二段階認証を有効にしておけば、セッションが乗っ取られた場合でも 重要な操作には追加の認証が求められるため被害を軽減できます。Web 開発セキュリティの書籍 (Amazon)も参考になります。