Webサイトでは、利用者がログインしてからサイトを離れるまでの一連の操作を「セッション」として管理しています。この仕組みがあるおかげで、ショッピングカートの中身が保持されたり、ページを移動してもログイン状態が維持されたりするのです。このセッションを識別するために、サーバーは「セッションID」という一時的な整理券のようなものを発行します。
セッションハイジャックとは、この重要なセッションIDを第三者が不正な手段で盗み出し、正規の利用者になりすましてアカウントを乗っ取るサイバー攻撃です。サーバーは正しいセッションIDを提示した相手を本人と誤認するため、攻撃者はIDやパスワードを知らなくても不正な操作ができてしまいます。
詳しい内容は「セッションハイジャックとは?」をご覧ください。
