わかりやすく!情報セキュリティ講座016 セッションハイジャック

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

前回はこれまでとは趣向を変えて、インターネットリテラシについてお話しました。

インターネット上のコンテンツの適切な利用が、結果としてリスクを小さく抑えることにつながることを肝に銘じて頂ければ幸いです。

今回は再びインターネット上の攻撃手法についてお話したいと思います。

今回のテーマは「セッションハイジャック」です。

 

セッションハイジャックってなんだ!?

セッションハイジャックという言葉の意味を考えると、「セッションをハイジャックする」ことになるので、「セッション(接続)のハイジャック(乗っ取り)」と考えるのが一番しっくりくるでしょう。

セッションハイジャックは、「なりすまし」を行うことで、クライアントとサーバの「正規セッション」に割り込んで、そのセッションを奪い取る行為となります。

 

セッションハイジャックの具体例は??

セッションハイジャックにより行われる行為として以下のような例が挙げられます。

  1. 正規サーバになりますてクライアントの機密情報を盗む
  2. 正規クライアントになりすまして、サーバに侵入する

1に関しては、実際に過去、銀行のホームページで問題となったことがあります。本物のホームページと見分けがつかないほど精巧な作りの偽のホームページを用意して、不特定多数のユーザーにホームページへのアクセスを促すような内容のメールを送り付けてその偽のホームページに個人情報(氏名・住所・電話番号・銀行のカード番号・暗証番号など)を書き込ませて、その情報を盗み取るという手口です。

2に関しては、企業など従業員や特定の関係者しかアクセスが許可されていないサーバーに、従業員や特定の関係者を装ってサーバーにアクセスしてサーバー内の情報を盗み出す手口です。これもユーザーIDとパスワードをメールなど何らかの方法で盗み出した結果によるものです。

最近ではApple社の名を語ったスパムメールに添付されていたリンク先にクレジットカード情報などを書き込んだことによってクレジットカードが不正使用されるなどの被害がニュースでも話題となりました。

このようにセッションハイジャックは、スパムメールやソーシャルエンジニアリング、メールボムなどと組み合わせて行われることがとても多いのです。

 

セッションハイジャックの被害にあわないためには?

セッションハイジャックによる被害を防いでいくには、これと組み合わせることの多いスパムメールやソーシャルエンジニアリング、メールボムなどに引っかかることの無いようにしなくてはなりません。

  1. たやすく個人情報を他人に伝えない、メールやホームページにもたやすく書き込まない
  2. メールの取り扱いやホームページへのアクセスには注意を払う
  3. 身に覚えのない請求のメールや個人情報を書き込むよう促すメールに反応しないこと

被害にあわないためにも、まずはこれら3つを心がけて頂ければと思います。

 

セッションハイジャックの種類

セッションハイジャックの種類にはTCPセッションハイジャック、UDPセッションハイジャック、WEBセッションハイジャックなどがありますが、機会があればまた改めてこの記事に追記、もしくは記事を起こしたいと思います。

 

インターネット上では様々な手段を用いた犯罪が横行しており、今後も絶えることはないどころか手口も巧妙化したり、新たな種類の攻撃が生まれてくることでしょう。

被害にあわないためにも、攻撃手法や特徴、対策について知っておくことがインターネットを利用するうえで重要となります。

スポンサーリンク

1

基本がわかる安全設計のWebシステム(日経BP Next ICT選書)

基本がわかる安全設計のWebシステム(日経BP Next ICT選書)
ASIN: B0194LYKJW
日経BP社

SEもPMも知っておきたいWebシステムのセキュリティが、基本から分かる重要情報の漏えい、データの改ざん──。Webシステムを狙う攻撃は、企業に深刻な被害をもたらす。安全なWebシステムを作るには、要件定義から始まる開発プロジェクトの各段階で..

1

CS Shop
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

SNSでもご購読できます。

Translate this page

コメントを残す

*

%d人のブロガーが「いいね」をつけました。