Oktaのデモ動画を多数掲載 - コンテンツライブラリ デモを見る
無料トライアル お問い合わせ

セッションハイジャック攻撃:定義、損害、防御

アダプティブな多要素認証でデータ漏えい、弱いパスワード、フィッシング攻撃に対抗する方法を解説します。

更新済み: 2024年09月01日 読了目安時間: ~

トピック

Security

目次

 

この記事は機械翻訳されました。

 

セッションハイジャック攻撃は、なりすましの一種です。ハッカーは有効なコンピューターセッションキーにアクセスし、そのわずかな情報を使用して、侵入者は許可されたユーザーが実行できるほとんどすべてのことを行うことができます。

セッションハイジャックとは何かを理解し、自分自身とデータを保護する方法について説明します。

セッションハイジャック攻撃とは?

2つのデバイス(コンピューターとサーバーなど)間の通信期間はセッションです。認証によってプロセスが開始され、IT が成功すると、サーバーはユーザーのブラウザに格納されるセッショントークンを生成します。 セッションハイジャック中に、そのトークンは盗まれるか予測されます。

セッション ID を使用すると、ハッカーは次のことができます。

  • セッションを引き継ぎます。 そのサイトで許可されているすべてのことは、ハッカーも行うことができます。それは、送金、購入、またはパスワードの変更を意味する可能性があります。
  • より多くの機会を探してください。 あるサイト(Googleなど)にログインすると、別のサイト(YouTubeなど)で作業できるようになりますか?ハッカーにバレるよ。

この手法は、セッション なりすましとは少し異なります。 なりすましの最中、ハッカーはあなたになりすまし、知らないうちに新しいセッションを開始します。セッションハイジャック中は、攻撃者と同じサーバーで同時に作業することになります(プログラムがクラッシュするか、ITから削除されるまで)。

セッションハイジャックはどのように始まりますか?

サーバーはセキュリティを念頭に置いて設計されており、IT部門は誰もがセッションハイジャックに関与するのが難しいはずです。 残念ながら、侵害は一般的です。

次の 5 つの既知の手法が存在します。

  • クロスサイトスクリプト(XSS)攻撃。攻撃者は、一見無害に見えるリンクを送信します。「IT」をクリックすると、悪意のあるコードが実行されます。 ハッカーはあなたのセッションキーを取得します。このアプローチは、OWASPによって アプリケーション(アプリケーション)のセキュリティリスクのトップ と見なされています。
  • マルウェア。 ハッカーがEメールやウェブサイトに悪質なリンクを張っています。 感染すると、ハッカーはセッションキーを盗んだり、デバイスを乗っ取ったりすることができます。ハッカーは、マルウェアを使用して中間者攻撃やブラウザ攻撃を行うことがあります。ハッカーは、どのサーバーでもユーザーの行動をすべて見ることができます。
  • セッションの固定。 ハッカーは、既知のセッションキーをリンク経由で送信します。そのリンクからログインすると、ハッカーはあなたのクッキーを持っています。
  • セッション側のジャッキ。 ハッカーはスニッフィングツールを使用して、デバイスとサーバーの間を通過する暗号化されていないトラフィックを読み取ります。公共のWiFiで作業している場合、トラフィックが暗号化されていない可能性があるため、ハッカーの仕事はさらに簡単になります。
  • セッション スニッフィング。 セッション ID は暗号化されていない状態で送信され、ハッカーはネットワークを監視して IT を見つけます。

ハッカーは 、Firesheepのようなツールも使うことができます。この Firefox 拡張は、認証されたWebサイトにセッションCookieをコピーするために、パブリックWiFiセッションを介して使用されます。 ハッカーは、 WhatsappSniffer などの プラットフォーム固有のツールを使用して、作業を回避し、セッションを完全に乗っ取ることもできます。

DroidSheep や CookieCadger など、他にも多くのツールが存在します。ハッカーがセッションを乗っ取りたいと思っている限り、ハッキング開発チームは彼らを助けるためにそこにいます。

セッションハイジャックを防ぐ方法

最近のブラウザの多くには、セッションハイジャック保護が組み込まれています。Webにアクセスするたびに最新のソフトウェアを使用していることを確認することは、データを安全に保つための迅速かつ簡単な方法です。

その他の 4 つのセキュリティ オプション には、次のものがあります。

  • 暗号化の強化。 サーバーとの間のすべての移動が完全に暗号化されていることを確認し、傍観者が見たり盗んだりできないようにします。
  • VPNの要求。 あなたやあなたの従業員が公共の場で仕事をしなければならない場合は、通信がVPNで保護されていることを確認してください。公共のWiFiは危険すぎます。
  • ランダム。 ランダムなセッションCookieを発行するようにサーバーを設定すると、ハッカーは次に何が起こるかを推測するのに苦労します。
  • ネクタイを切る。 セッションが終了したら、ログアウトします。サイト管理者の場合は、非アクティブな状態が一定期間続いた後、ユーザーをログオフします。

参考文献

OWASPトップ10。OWASPです。

Firesheep が Web セッションを乗っ取る方法。(2010年11月)。Dark Reading)

Android用のWhatsAppスニファーAPKダウンロード。WhatsAppスニファーAPK。

セッションハイジャックとは何か、ITを防ぐには? EC-カウンシル。

アイデンティティ施策を推進

今すぐ無料トライアルをご利用いただけます。個別のご要望については、お気軽にお問い合わせください。

今すぐ始める
見積もりなどのお問い合わせ