ウェブアプリケーション用セッションIDの総当たり攻撃による盗難 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.17(火)

ウェブアプリケーション用セッションIDの総当たり攻撃による盗難

製品・サービス・業界動向 業界動向

 今日の「ステートフル」なウェブアプリケーションのほとんどは、サイト内で実施される一連のオンライン行動を特定ユーザと結び付けるため、セッションIDを使用している。セッションIDを使用するステートメカニズムの多くは、認証及び許可メカニズムも兼ねているが、それらメカニズムに対して決して最適なものであると言えないため、セキュリティ上の問題を抱えている。

 セッションIDが攻撃者によって盗難・探知されると、反射攻撃によってユーザのウェブセッションが乗っ取られてしまうことはよく知られている。ウェブアプリケーションに対して反射攻撃を仕掛けることにより、あるユーザのID・パスワードを知らなくても、そのユーザのアカウントにログオンできてしまう。例えば、セッションIDのストリングを含む URLの探知に成功した場合、このURLをブラウザに貼り付けるだけで、セッションを乗っ取ることができる。

 反射攻撃を実施する目的で、セッションIDを推測したり、総当たり攻撃を利用して割り出すことが、どれだけ簡単であるかはあまり知られていない。前述の通り、セッションIDを盗むことにより、攻撃者はわざわざユーザの正規ID及びパスワードを入手する必要がなくなる。

 通常、セッションIDとは、クライアント/サーバ間で伝達され、クッキーまたはURL内に含まれる、長いランダムな英数字のストリングである。一旦ユーザがアプリケーション(Hotmail、Amazon, eBayなど)にログインすると、セッションIDは認証メカニズムとして保存されるため、同じウェブサイト内で違うページを読み込もうと、いちいちパスワードを入力する必要がなくなる。理想のセッションIDとは、ユーザのセッションが有効である間、攻撃者によってそのセッションIDが推測される、または計算される可能性の低いものである。

 セッションIDの作成に強力な暗号アルゴリズムを使用した場合、同じアプリケーションで作成した次のセッションIDを予想することは、ほぼ不可能である。しかし、多くのアプリケーションは、セッションIDを線形または予想しやすい方法で作成するため、攻撃者は自動プログラムを利用して、それらを推測したり、総当たり攻撃で抽出することができてしまう。セッションIDを当てることに成功した場合、ユーザの正規ID・パスワードを盗む必要なく、そのユーザのアカウントにアクセスするか、セッションを乗っ取ることができてしまう。
 本レポートは、これら多くのセッションIDが、総当たり攻撃で、いかに簡単に割り出せてしまうかについて分析する。

 尚、本レポート全文(英文)は、 http://www.idefense.com/idpapers/SessionIDs.pdf で入手可能。

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただい ております。情報の内容は以下の時点におけるものです。


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

    Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

  3. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

    30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. ルートゾーンKSKロールオーバーのプロセス開始、DNSパケットサイズに注意(JPRS)

  6. 新アルゴリズムを開発、古い制御システムでもサイバー攻撃対策が可能に(日立)

  7. Apache Strutsの脆弱性リスクの有無を判断できるツールを無料配布(Black Duck Software)

  8. ルートゾーンKSKロールオーバーの「新KSKでの署名開始」を延期(JPRS)

  9. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  10. マルウェア侵入の検知を高精度化するAI技術を開発、侵入前後の違いを検知(富士通研究所)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×