攻撃と脅威
セッションハイジャック
別称: TCP セッションハイジャック, クッキーセッションハイジャック
定義
セッション識別子を盗用または偽造して被害者の認証済みセッションを乗っ取り、攻撃者が認証情報なしで本人として振る舞う攻撃。
セッションハイジャックは、認証済みセッションを維持するためのトークン(通常はクッキーやベアラートークン)を狙い、攻撃者の制御下にあるクライアントで再利用します。トークンの入手手段には、暗号化されていない通信のスニッフィング、XSS による持ち出し、クライアント上のマルウェア、推測可能なセッション ID、セッション固定、サードパーティでの漏えいなどがあります。セッションが再生されると、既に通過した多要素認証も含めて認証を回避できます。対策には、HSTS を伴うサイト全体の HTTPS、Secure/HttpOnly/SameSite といったクッキー属性、XSS を防ぐ厳格な CSP、短寿命でローテーションされるトークン、デバイス結合トークン(DPoP、Token Binding、Passkey)、リスクベースの再認証、IP・デバイスフィンガープリント・ASN などの異常検知などが挙げられます。
例
- XSS のペイロードがログイン中ユーザーのセッションクッキーを攻撃者へ送信し、攻撃者は自身のブラウザに貼り付けて被害者になりすます。
- 業務端末のマルウェアが OAuth リフレッシュトークンを盗み、SaaS アプリへの永続的なアクセスを得る。
関連用語
クッキーハイジャック
ユーザーの HTTP クッキー(通常はセッションや認証用クッキー)を盗み、再利用して Web アプリ上でそのユーザーになりすます攻撃。
クッキーポイズニング
HTTP クッキーが Web アプリへ送信される前にその内容を書き換え、信頼・本人性・業務ロジックの判断を歪める攻撃。
クロスサイトスクリプティング(XSS)
他のユーザーが閲覧するページに悪意あるスクリプトを注入し、当該サイトのオリジンとして被害者のブラウザで実行させる Web 脆弱性。
Session Management
Session Management — definition coming soon.
Session Fixation
Session Fixation — definition coming soon.
中間者攻撃 (MitM)
通信中の双方が直接やり取りしていると信じている間に、攻撃者が通信を密かに中継・改ざんする攻撃。