クッキーモンスター問題とは

クッキーモンスター問題(クッキーモンスターバグとも呼ぶ)とは、Webブラウザーに存在する脆弱性の一つ。一部のWebブラウザーにおいて、セッション(Webアクセスの単位)管理に使うクッキー(Cookie)が正しく送信されないという問題で、これにより、攻撃者が用意したセッションIDの値を閲覧者のWebブラウザーに強制的にセットし、セッションを乗っ取ることで、攻撃者がユーザーになりすますことが可能となるセッション・フィクセーションなどが可能になる。

Cookieは、Webアクセスの際にWebサイトが発行するデータである。パソコン側では、Webブラウザーに送られてきたCookieを保存しておき、再度同じWebサイトにアクセスするときに、HTTPリクエストとともに送信する。このように、Cookieを使うことにより、Webサイトではアクセスしてきたユーザーを識別することが可能となる。

Cookieには発行元のドメイン名が明示されているため、そのドメインとの間でしかやりとりできないことになっている。このため、通常は、あるサイトが発行したCookieが他のサイトに送られることはない。ところが、古いWebブラウザーなどで、ドメイン属性が正しく制限されないという問題(クッキーモンスター)がある。これにより、攻撃者が自由にCookieを指定することが可能となり、セッション・フィクセーションやクロスサイトリクエストフォージェリ(CSRF)などの影響を受けやすくなる。

クッキーモンスター問題を悪用した攻撃を防ぐためのユーザーの対策としては、クッキーモンスター問題のあるWebブラウザーを使わないということが挙げられるが、最もメジャーなブラウザーの一つであるInternet Explorerにも、地域型ドメインに対するクッキーモンスター問題があることが確認されており、これを使わないよう強制するのは現実的ではないとの指摘もある。

このため、認証後にセッションIDを変更するといった、Webアプリケーション開発者側の脆弱性対策が欠かせない。

セキュリティ用語辞典一覧ページへ

関連キーワード:

Cookie

クッキー

  • IPAがスマホにおける新たなワンクリック請求の手口に注意喚起
  • カテゴリートップへ
  • 【K子番外編】U子のセキュリティはじめまして!Vol.3 Webサイトにログインしたらログアウトを忘れずに