セッションフィクセーション(session fixation)とは
セッションフィクセーション(session fixation)とは、Webサイトのアクセス時にログイン情報などを記憶するためのセッションIDを悪用して攻撃者が利用者がログインしているサイトに侵入して不正を行うサイバー攻撃です。
セッションフィクセーションはセッションID固定化攻撃とも呼ばれます。
Webサイトではユーザがサービスを利用するためにユーザのログイン情報を保持するためにセッションIDというものを用いてページが遷移してもログインした状態を維持しています。
セッションIDはセキュリティの観点からログインに成功したときなどタイミングによってセッションIDを可変させる必要があるのだが、WebサイトによってはアクセスしてからずっとセッションIDが固定化されているものもある。
セッションIDがずっと変更されずに固定化されていることを利用して攻撃するのがセッションフィクセーションになります。
セッションフィクセーションが発生するまで
セッションフィクセーションが発生するまでの流れは以下になります。
- セッションIDの脆弱性のあるWebサイトのセッションIDを攻撃者が取得する
- 攻撃者の持つセッションIDを含むURLをリンク先として指定したフィッシングを目的とするメールをユーザへ送付
- ユーザがメールに添付されたリンクをクリックして攻撃者のセッションIDを使ってWebサイトにログイン
- 攻撃者が同じセッションIDでアクセスするとユーザがログインした状態のサイトを開くことが可能になる
セッションフィクセーションの対策
セッションフィクセーションの対策として確実なのがログインをしたときにセッションIDを変更することである。このようにすれば攻撃者の持つセッションIDではログインできなくなるので不正アクセスを防ぐことができる。
ログイン前からのセッションIDを固定して使う場合にはURLにセッションIDを組み込めない形式にしてフィッシングを防いだり、IPアドレスによるアクセスの制御などが対策として挙げられる。
コメント