セッションハイジャック
セッションハイジャック とは何ですか?
セッションハイジャックセッション識別子を盗用または偽造して被害者の認証済みセッションを乗っ取り、攻撃者が認証情報なしで本人として振る舞う攻撃。
セッションハイジャックは、認証済みセッションを維持するためのトークン(通常はクッキーやベアラートークン)を狙い、攻撃者の制御下にあるクライアントで再利用します。トークンの入手手段には、暗号化されていない通信のスニッフィング、XSS による持ち出し、クライアント上のマルウェア、推測可能なセッション ID、セッション固定、サードパーティでの漏えいなどがあります。セッションが再生されると、既に通過した多要素認証も含めて認証を回避できます。対策には、HSTS を伴うサイト全体の HTTPS、Secure/HttpOnly/SameSite といったクッキー属性、XSS を防ぐ厳格な CSP、短寿命でローテーションされるトークン、デバイス結合トークン(DPoP、Token Binding、Passkey)、リスクベースの再認証、IP・デバイスフィンガープリント・ASN などの異常検知などが挙げられます。
● 例
- 01
XSS のペイロードがログイン中ユーザーのセッションクッキーを攻撃者へ送信し、攻撃者は自身のブラウザに貼り付けて被害者になりすます。
- 02
業務端末のマルウェアが OAuth リフレッシュトークンを盗み、SaaS アプリへの永続的なアクセスを得る。
● よくある質問
セッションハイジャック とは何ですか?
セッション識別子を盗用または偽造して被害者の認証済みセッションを乗っ取り、攻撃者が認証情報なしで本人として振る舞う攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
セッションハイジャック とはどういう意味ですか?
セッション識別子を盗用または偽造して被害者の認証済みセッションを乗っ取り、攻撃者が認証情報なしで本人として振る舞う攻撃。
セッションハイジャック からどのように防御しますか?
セッションハイジャック に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
セッションハイジャック の別名は何ですか?
一般的な別名: TCP セッションハイジャック, クッキーセッションハイジャック。