セッションハイジャックとは？

詳細解説

セッションハイジャックとは、Webアプリケーションでログイン後にサーバとクライアント間でやり取りされるセッションID（認証済み状態を識別するトークン）を攻撃者が盗み取り、正規ユーザーになりすましてサービスを不正利用する攻撃です。セッションIDの盗み方として、「通信傍受（HTTPSを使っていない場合）」「クロスサイトスクリプティング（XSS）によるCookie窃取」「セッション固定攻撃（セッションIDを事前に固定）」などがあります。対策として、「HTTPS通信の強制」（通信傍受の防止）、「CookieのSecure属性・HttpOnly属性の設定」（XSSによる窃取防止）、「ログイン後のセッションID再生成」（セッション固定攻撃の防止）、「セッションの有効期限設定」が有効です。IT試験では「セッションIDの役割」「XSSとの組み合わせ攻撃」「Secure・HttpOnly属性の効果」「セッション固定攻撃との違い」が頻出です。

ITパスポートでの出題ポイント

• 1セッションIDを盗んで正規ユーザーになりすます攻撃
• 2XSSによるCookie窃取・通信傍受・セッション固定の3攻撃経路
• 3Secure属性（HTTPS限定送信）とHttpOnly属性（JS非アクセス）の効果
• 4ログイン後のセッションID再生成によるセッション固定攻撃対策

関連用語