セッションハイジャックの主な攻撃手口は、セッションIDの窃取・推測・固定化(フィクセーション)の3種類です。セッションIDとはユーザーを識別するための符号で、攻撃者はWebサイトの脆弱性や通信経路の不備を突いてこれを不正に取得し、正規ユーザーになりすまします。
代表的な攻撃手口は、以下の3つです。
- セッションIDの窃取
クロスサイト・スクリプティング(XSS)などによる不正スクリプト実行や、暗号化されていない通信の盗聴によってIDを盗み取る手法。 - セッションIDの推測
IDの生成規則の分析やブルートフォース攻撃(総当たり攻撃)によって、有効なIDを割り出す手法。 - セッション・フィクセーション
攻撃者が用意した特定のIDをユーザーに使用させ、ログイン後にそのセッションを乗っ取る手法。
いずれの手口もセッションIDの管理不備を突く攻撃であるため、IDの生成・管理・破棄の各段階でセキュリティ対策を講じることが重要です。
各手口の具体的な仕組みについては「セッションハイジャックで用いられる代表的な攻撃手口」で詳しく解説しています。
