セッションハイジャックとは何ですか？

ユーザーのセッションID（ログイン状態を維持する識別子）を盗み取り、そのユーザーになりすましてシステムにアクセスする攻撃手法。

セッションハイジャックのポイントは？

セッションIDはCookieやURLパラメータで管理され、これを盗むことでログイン状態を乗っ取れる。XSS、ネットワーク盗聴、セッション固定攻撃などの手法で盗まれる。HTTPSの強制、Cookieのセキュア属性、セッションIDの定期更新が対策になる。パスワードを知らなくてもログイン済みの状態を奪えるため危険性が高い

【せっしょんはいじゃっく】

セッションハイジャックとは？

💡 ログイン中の「通行証」を盗んで本人になりすます攻撃

📌 このページのポイント

セッションIDはCookieやURL パラメータで管理され、これを盗むことでログイン状態を乗っ取れる
XSS、ネットワーク盗聴、セッション固定攻撃などの手法で盗まれる
HTTPSの強制、Cookieのセキュア属性、セッションIDの定期更新が対策になる
パスワードを知らなくてもログイン済みの状態を奪えるため危険性が高い

セッションハイジャックの仕組み

ひよこ

セッションハイジャックってどういう攻撃？

ペンギン先生

Webサイトにログインすると「セッションID」という通行証が発行されるよね。このIDを攻撃者が盗むと、パスワードを知らなくてもログイン済みの状態でシステムにアクセスできてしまうんだ。まさに通行証を盗んで本人のふりをするんだよ。

ひよこ

セッションIDってどうやって盗まれるの？

ペンギン先生

主に3つの手法があるよ。1つ目はXSSでJavaScriptを使ってCookieを盗む方法。2つ目は暗号化されていない通信を盗聴する方法。3つ目はセッション固定攻撃で、攻撃者が用意したセッションIDを被害者に使わせる方法だよ。

ひよこ

開発者として対策するにはどうすればいい？

ペンギン先生

CookieにSecure属性（HTTPS限定）とHttpOnly属性（JavaScriptからアクセス不可）を付ける。セッションIDを十分にランダムにする。ログイン時にセッションIDを再生成する。セッションの有効期限を適切に設定する。この4つが基本だよ。

ひよこ

ユーザーとしてできる対策は？

ペンギン先生

公衆Wi-Fiでの重要な操作を避ける、ブラウザのプライベートモードを使う、こまめにログアウトする、URLにセッションIDが含まれているサイトは注意する、などだね。あとHTTPS以外のサイトでログインするのは避けた方がいいよ。

まとめ：ざっくりこれだけ覚えればOK！

「セッションハイジャック」って出てきたら「ログイン中のセッションIDを盗んでなりすます攻撃だな」と思えればだいたいOK！

📖 おまけ：英語の意味

「Session Hijacking」＝セッションの乗っ取り

💬 hijack（乗っ取る）で、ログイン中のセッションを横取りするイメージだよ

← 用語集にもどる

セッションハイジャック とは？

セッションハイジャックとは？