セッション・フィクセーションとは

Tweet

ページ遷移やログイン状態など、Webアクセスの際に一定時間持続して使用する情報であるセッションIDに対する攻撃のひとつ。フィクセーションは「Fixation」、つまり「強制」ともいうべき攻撃手法で、攻撃者が既に知っているセッションIDの値をユーザーに使わせ、そのユーザーのセッションへのアクセスを押さえてしまう(そのユーザーになりすます)こと。

セッション・フィクセーションの手口はこうだ、まず攻撃者があらかじめWebサイトからCookieとして有効なセッションIDを取得しておく。次に、ユーザーが攻撃者の仕掛けた悪意のWebサイトにアクセスしたとき、事前に手に入れた有効なセッションIDを、そのユーザーのブラウザに強制的にセットする。

その後、第三者がWebサイトにアクセスすることで、そのセッションIDとユーザー情報が紐付けられ、攻撃者がユーザー情報と紐付いたセッションIDを自由に活用できてしまうのだ。

セッションIDはWebサーバー側が発行し、Webサーバーへアクセスするたびにその値をブラウザが送り出すのが原則だ。ところが、Webアプリケーションの中には、ブラウザが送ってきたセッションIDの値が、自分が発行したものではないにもかかわらず、それを有効なセッションIDとして許可してしまうものがある。このように、セッション管理がからむWebアプリケーションの脆弱性には、他にもクロスサイトリクエストフォージェリ(CSRF)が挙げられる。

基本的な対策としては、不明なリンクや添付ファイルを安易にクリックしないことだ。また、Webサイト管理者は、毎回新たなセッションIDを発行するなど、有効期限等を考慮したセッションID管理を心がけたい。