JSONハイジャックとは

JSON(ジェイソン)ハイジャックは、様々なWebアプリケーションを連携させるJSON(JavaScript object notation)という技術を悪用する攻撃のこと。

JSONは「RFC 4627」に仕様が記述されており、JavaScriptを使って簡単にデータを扱うことができるため、Ajaxを用いたWebアプリケーション(ブラウザー上で動作するアプリケーション)環境でのデータ送受信によく利用されている。

攻撃者はユーザーのWebブラウザーを経由して、ユーザーになりすますことで、Webサーバー上の機密情報を盗み出すのがJSONハイジャックの概要である。

代表的な手口としては、攻撃者が、フィッシングメールを送りつけ、ユーザーを悪意あるWebサイトに誘導する。悪意のあるWebサイトには特定のサイトを標的としたスクリプトが仕込まれている。標的とされたサイトにユーザーがログインしている状態で、この悪意のあるWebサイトを閲覧した場合、ブラウザを経由して当該サイト上にあるユーザーのJSONデータが攻撃者に盗み出されてしまう。

JSONハイジャックを防止するためには、Webアプリケーション開発者側のセキュリティ対策が重要である。

ユーザー側の対策としては、個人情報などを預けてある重要なサイトにログインしている間は他のWebページを見に行かないことや、そのようなサイトにログインしたあとは確実にログアウトすることが必要である。

もちろん、送信元に覚えのないメールに含まれるリンクはクリックしないなど、メールの取り扱いは慎重に行うことも重要である。