セッション(WWWにおけるアクセス単位のこと)を管理するセッションIDやセッション・クッキー(セッション管理に使用するためのクッキー)を盗むことにより、悪意の者が、別のユーザーになりすまし、そのユーザーが使用するマシンとは別のコンピューターからインターネットにアクセスするという不正アクセスの手口、またはそうした危険性そのものを指す。
例えば、セッションIDが類推可能な規則的な文字列であったり、セキュアでない通信経路で盗聴されたりすると、悪意の者にセッション自体を横取りされる可能性がある。セッションが盗まれると、そのセッションを利用していたユーザーになりすましたアクセスが行えるため、個人情報が盗まれたり、コンピュータに侵入されたりする危険性がある。
チエ:これは不正アクセスの手口として注意が呼びかけられている「Webアプリケーションの脆弱性」を突く攻撃の一つね。
イッセイ:Web管理者としてセッション・ハイジャックを防ぐには、類推が難しいセッションIDやクッキーを生成することや、セッションIDやクッキーの有効期間を短くすることが重要です。また、重要な通信ではIPSecやSSLを利用するなどの対策も有効です。
※リンク先の一部はPCからのみ閲覧可能となっています。
