ホーム > 情報処理安全確保支援士試験 > 2017年 春期
情報処理安全確保支援士試験 2017年 春期 午前2 問05
セッションIDの固定化(Session Fixation)攻撃の手口はどれか。
ア:HTTPS通信でSecure属性がないCookieにセッションIDを格納するWebサイトにおいて,HTTP通信で送信されるセッションIDを悪意のある者が盗聴する。
イ:URLパラメタにセッションIDを格納するWebサイトにおいて,Refererによってリンク先のWebサイトに送信されるセッションIDが含まれたURLを,悪意のある者が盗用する。
ウ:悪意のある者が正規のWebサイトから取得したセッションIDを,利用者のWebブラウザに送り込み、利用者がそのセッションIDでログインして,セッションがログイン状態に変わった後,利用者になりすます。(正解)
エ:推測が容易なセッションIDを生成するWebサイトにおいて、悪意のある者がセッションIDを推測し,ログインを試みる。
解説
セッションIDの固定化(Session Fixation)攻撃の手口【午前2 解説】
要点まとめ
- 結論:セッションIDの固定化攻撃は、攻撃者があらかじめ用意したセッションIDを利用者に使わせて不正ログインを狙う手口です。
- 根拠:攻撃者が正規のセッションIDを利用者のブラウザに送り込み、利用者がそのIDでログインすると攻撃者が同じセッションを乗っ取れます。
- 差がつくポイント:セッションIDの盗聴や推測ではなく、利用者に特定のセッションIDを使わせる点が固定化攻撃の特徴です。
正解の理由
選択肢ウは、攻撃者があらかじめ取得したセッションIDを利用者のブラウザに送り込み、そのIDで利用者がログインすることで攻撃者が同じセッションを共有し、なりすましを行う典型的なセッション固定化攻撃の手口を正確に表しています。
他の選択肢は盗聴や推測による攻撃であり、固定化攻撃の定義とは異なります。
他の選択肢は盗聴や推測による攻撃であり、固定化攻撃の定義とは異なります。
よくある誤解
セッションIDの盗聴や推測もセッション攻撃の一種ですが、固定化攻撃は「攻撃者がIDを利用者に使わせる」点が異なります。
また、HTTPSの有無やCookieの属性設定は別の攻撃防止策であり、固定化攻撃の本質ではありません。
また、HTTPSの有無やCookieの属性設定は別の攻撃防止策であり、固定化攻撃の本質ではありません。
解法ステップ
- セッション固定化攻撃の定義を確認する(攻撃者がセッションIDを利用者に使わせる)。
- 各選択肢の攻撃手法を読み、IDの入手方法と利用方法を比較する。
- 「利用者に攻撃者のIDを使わせる」内容の選択肢を特定する。
- 正解はウであることを確認する。
選択肢別の誤答解説
- ア: HTTPS通信でSecure属性がないCookieの盗聴はセッションIDの盗聴攻撃であり、固定化攻撃ではありません。
- イ: URLパラメータのセッションIDがRefererで漏れるのは情報漏洩や盗用の問題で、固定化攻撃とは異なります。
- ウ: 攻撃者がセッションIDを利用者に送り込み、そのIDでログインさせる固定化攻撃の典型例です。
- エ: 推測可能なセッションIDを使った不正ログインはセッションID推測攻撃であり、固定化攻撃ではありません。
補足コラム
セッション固定化攻撃を防ぐには、ログイン時に新しいセッションIDを発行する「セッションIDの再生成」が有効です。また、CookieにHttpOnlyやSecure属性を設定し、URLにセッションIDを含めない設計も重要です。
さらに、ユーザのログアウト時にセッションを確実に破棄することも対策の一つです。
さらに、ユーザのログアウト時にセッションを確実に破棄することも対策の一つです。
FAQ
Q: セッション固定化攻撃とセッションハイジャックの違いは何ですか?
A: 固定化攻撃は攻撃者があらかじめ用意したIDを利用者に使わせる手口で、ハイジャックは利用者のセッションIDを盗んで乗っ取る攻撃です。
A: 固定化攻撃は攻撃者があらかじめ用意したIDを利用者に使わせる手口で、ハイジャックは利用者のセッションIDを盗んで乗っ取る攻撃です。
Q: なぜログイン時にセッションIDを再生成する必要があるのですか?
A: 攻撃者が固定したIDを無効化し、新しいIDに切り替えることで固定化攻撃を防止できます。
A: 攻撃者が固定したIDを無効化し、新しいIDに切り替えることで固定化攻撃を防止できます。
関連キーワード: セッション固定化攻撃, セッションID, セッションハイジャック, Cookieセキュリティ, セッション管理, Webセキュリティ