セッションハイジャック

Session Hijackingとは

セッションハイジャックは、Webサービスやアプリケーションで利用者がログイン後に確立した通信セッションを、第三者が不正に乗っ取り、利用者になりすまして操作を行う攻撃手法です。ログイン後に「セッションID」という識別子を用いて認証状態を維持しますが、このセッションIDが盗まれると、攻撃者は正規ユーザーと同じ権限でサービスを利用できてしまいます。

攻撃者は、CookieやセッションIDを盗み取ることで、認証済みの状態を不正に利用します。具体例として、公共Wi-Fiで暗号化されていない通信を傍受し、セッションIDを取得するケースがあります。この方法により、攻撃者はパスワードを知らなくてもアカウントにアクセスできます。

防止策として、HTTPSによる暗号化、セッションIDの定期更新、ログアウト時のセッション破棄などが効果的です。また、二要素認証を導入することで、セッション情報だけでは不正ログインできない仕組みを作れます。

関連用語

• 2025年の崖
• 2FA
• 2段階認証