はじめに — ログインしたまま乗っ取られる恐怖
空子/情報セキュリティマネジメント担当ネットショッピング、SNS、ネットバンキング……私たちは毎日たくさんのWebサービスにログインしています。IDとパスワードをしっかり管理していれば安全だと思っていませんか? 実は、パスワードを一切盗まなくても、あなたのアカウントを乗っ取る方法が存在します。それが「セッションハイジャック」です。
この記事では、セッションハイジャックとは何か、どんな仕組みで起きるのか、そして私たちにできる対策について、専門知識がなくてもわかるようにやさしく解説します。
そもそも「セッション」って何?
空子/情報セキュリティマネジメント担当まず、「セッション」という言葉から説明しましょう。
Webサイトにログインすると、サーバー(Webサイトを動かしているコンピュータ)は「この人は本人確認済みですよ」という証明書のようなものを発行します。これがセッションIDと呼ばれるもので、ブラウザの中にある「Cookie(クッキー)」という小さなデータに保存されます。
たとえるなら、テーマパークの入場後に手首に巻かれるリストバンドのようなものです。一度入場ゲートで身分証を見せれば、その後はリストバンドを見せるだけでアトラクションに乗れますよね。セッションIDも同じで、一度ログインすれば、その後はセッションIDをサーバーに見せるだけで「ログイン済みの本人」として扱ってもらえるのです。
セッションハイジャックとは?
空子/情報セキュリティマネジメント担当セッションハイジャックとは、この「リストバンド」にあたるセッションIDを第三者が盗み取り、あたかも本人であるかのようにサービスを利用する攻撃のことです。
恐ろしいのは、攻撃者はあなたのIDやパスワードを知る必要がないという点です。セッションIDさえ手に入れれば、サーバーから見ると正規のユーザーと区別がつきません。ネットバンキングであれば送金ができてしまうかもしれませんし、SNSであれば勝手に投稿されたり、個人情報を閲覧されたりする危険があります。
どうやってセッションIDは盗まれるの?
空子/情報セキュリティマネジメント担当セッションIDが盗まれる代表的な手口をいくつか紹介します。
1. フリーWi-Fiでの盗聴
カフェや空港などで提供されているフリーWi-Fiは便利ですが、暗号化されていないネットワークでは、同じWi-Fiに接続している第三者が通信内容を覗き見できてしまうことがあります。このとき、通信の中に含まれるセッションIDが盗まれる可能性があります。
2. クロスサイトスクリプティング(XSS)
Webサイトにセキュリティ上の欠陥(脆弱性)がある場合、攻撃者が悪意のあるプログラム(スクリプト)をサイト内に埋め込むことがあります。ユーザーがそのページを開くと、スクリプトが勝手に実行され、ブラウザに保存されているセッションIDが攻撃者に送信されてしまいます。これは利用者ではなく、Webサイト側の問題で起きるため、ユーザーが気づきにくいのが特徴です。
3. セッションIDの推測
セッションIDの生成方法が単純なWebサイトでは、攻撃者がパターンを分析してIDを推測できてしまうことがあります。たとえば、連番や日時をもとにした単純なIDだと、総当たりや規則性の分析で突破されるリスクがあります。
4. フィッシングや偽サイトへの誘導
「アカウントに問題があります」などのメールで偽のログインページに誘導し、ユーザーがログインした瞬間にセッションIDを奪い取る手口もあります。
被害に遭うとどうなる?
空子/情報セキュリティマネジメント担当セッションハイジャックの被害は深刻です。具体的には、以下のようなことが起こり得ます。
個人情報(氏名、住所、電話番号、メールアドレスなど)が閲覧・流出する。ネットバンキングやクレジットカードの不正利用により金銭的な被害を受ける。SNSで本人になりすまして不適切な投稿をされ、社会的信用を失う。業務用アカウントが乗っ取られ、会社全体に被害が波及する。このように、個人だけでなく周囲の人や組織にまで影響が及ぶことがある点が、この攻撃の怖さです。
私たちにできる対策
空子/情報セキュリティマネジメント担当「そんな高度な攻撃、自分には防げないのでは?」と思うかもしれませんが、日常的な心がけで大きくリスクを減らすことができます。
フリーWi-Fiでの重要な操作を避ける。 ネットバンキングやショッピングなど、個人情報やお金に関わる操作は、信頼できるネットワーク(自宅のWi-Fiやスマホの回線など)で行いましょう。どうしてもフリーWi-Fiを使う場合は、VPN(仮想専用回線)を利用すると通信を暗号化できます。
URLが「https」で始まるサイトを利用する。 「https」で始まるサイトは通信が暗号化されており、途中で盗聴されにくくなっています。ブラウザのアドレスバーに鍵マークが表示されていることを確認しましょう。
こまめにログアウトする。 使い終わったサービスはログアウトしましょう。ログアウトするとセッションIDが無効になるため、万が一盗まれていても悪用を防げます。
ブラウザやアプリを最新の状態に保つ。 ソフトウェアのアップデートにはセキュリティ修正が含まれていることが多いです。自動更新をオンにしておくだけで、多くの脆弱性から身を守れます。
不審なメールやリンクを開かない。 フィッシングメールは年々巧妙になっています。「緊急」「今すぐ対応」などと焦らせる内容のメールには特に注意し、リンクをクリックする前に送信元やURLをよく確認しましょう。
二段階認証(2FA)を設定する。 多くのサービスで利用できる二段階認証を有効にしておくと、万が一セッションが盗まれても、重要な操作(パスワード変更、送金など)の際に追加の認証が求められるため、被害を最小限に抑えられます。
まとめ
セッションハイジャックは、パスワードを盗まずにアカウントを乗っ取るという、一見すると信じがたい攻撃手法です。しかし、その仕組みを理解すれば、「なぜフリーWi-Fiが危険なのか」「なぜログアウトが大切なのか」といった、よく聞くセキュリティの教えの本当の理由が見えてきます。
空子/情報セキュリティマネジメント担当インターネットは私たちの生活に欠かせないものになりました。だからこそ、こうした脅威を正しく知り、日常のちょっとした習慣でリスクを減らしていくことが大切です。今日からできることとして、まずは使い終わったサービスのログアウトから始めてみてはいかがでしょうか。
コメント