ウェブアプリケーション用セッションIDの総当たり攻撃による盗難 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.13(水)

ウェブアプリケーション用セッションIDの総当たり攻撃による盗難

製品・サービス・業界動向 業界動向

 今日の「ステートフル」なウェブアプリケーションのほとんどは、サイト内で実施される一連のオンライン行動を特定ユーザと結び付けるため、セッションIDを使用している。セッションIDを使用するステートメカニズムの多くは、認証及び許可メカニズムも兼ねているが、それらメカニズムに対して決して最適なものであると言えないため、セキュリティ上の問題を抱えている。

 セッションIDが攻撃者によって盗難・探知されると、反射攻撃によってユーザのウェブセッションが乗っ取られてしまうことはよく知られている。ウェブアプリケーションに対して反射攻撃を仕掛けることにより、あるユーザのID・パスワードを知らなくても、そのユーザのアカウントにログオンできてしまう。例えば、セッションIDのストリングを含む URLの探知に成功した場合、このURLをブラウザに貼り付けるだけで、セッションを乗っ取ることができる。

 反射攻撃を実施する目的で、セッションIDを推測したり、総当たり攻撃を利用して割り出すことが、どれだけ簡単であるかはあまり知られていない。前述の通り、セッションIDを盗むことにより、攻撃者はわざわざユーザの正規ID及びパスワードを入手する必要がなくなる。

 通常、セッションIDとは、クライアント/サーバ間で伝達され、クッキーまたはURL内に含まれる、長いランダムな英数字のストリングである。一旦ユーザがアプリケーション(Hotmail、Amazon, eBayなど)にログインすると、セッションIDは認証メカニズムとして保存されるため、同じウェブサイト内で違うページを読み込もうと、いちいちパスワードを入力する必要がなくなる。理想のセッションIDとは、ユーザのセッションが有効である間、攻撃者によってそのセッションIDが推測される、または計算される可能性の低いものである。

 セッションIDの作成に強力な暗号アルゴリズムを使用した場合、同じアプリケーションで作成した次のセッションIDを予想することは、ほぼ不可能である。しかし、多くのアプリケーションは、セッションIDを線形または予想しやすい方法で作成するため、攻撃者は自動プログラムを利用して、それらを推測したり、総当たり攻撃で抽出することができてしまう。セッションIDを当てることに成功した場合、ユーザの正規ID・パスワードを盗む必要なく、そのユーザのアカウントにアクセスするか、セッションを乗っ取ることができてしまう。
 本レポートは、これら多くのセッションIDが、総当たり攻撃で、いかに簡単に割り出せてしまうかについて分析する。

 尚、本レポート全文(英文)は、 http://www.idefense.com/idpapers/SessionIDs.pdf で入手可能。

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただい ております。情報の内容は以下の時点におけるものです。


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  3. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

    シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. ダークウェブからAIで情報収集(DTRS、IISEC)

  7. 人の動作に偽装するボットアクセスを検知(アカマイ)

  8. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  9. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  10. 学校の自殺予防体制、情報セキュリティ技術活用

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×