サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

SHIFT SECURITY クラウドセキュリティの学び場 用語・国際規格 アカウントハイジャック(セッションハイジャック)とは

アカウントハイジャック(セッションハイジャック)とは

アカウントハイジャック(セッションハイジャック)とは
目次
  • あなたのアカウントも誰かに狙われている!?アカウントハイジャック
  • アカウントハイジャックの手法
  • アカウントハイジャックへの主な対策
  • アカウントハイジャックの被害に遭わない、発生させないために

あなたのアカウントも誰かに狙われている!?アカウントハイジャック

「ある日、気が付いたら大量の電子マネー購入履歴があった。」
「知らない間に攻撃的な投稿をSNS上に送っていた。」

このような被害の背景にはアカウントハイジャックが存在しているかもしれません。

例えばTwitterのようなSNSの場合、「アカウントが乗っ取られて勝手に投稿された」のようなコメントを目にしたこともあるかと思います。
「アカウントなんてそう簡単に乗っ取られるものなのか」と思われるかもしれません。しかし、Webアプリケーションの脆弱性を突く攻撃では「アカウントの奪取・盗難」を最終的な目的とするものも多く、そこには様々なアカウントの乗っ取りの脅威が存在します。

ネットバンキングで使用するアカウント、QRコード、バーコード決済に用いるアカウント、Amazonや楽天などのネットショッピングを行うアカウントなど、乗っ取られてしまうと金銭的な被害が発生するケースも考えられます。

このようにアカウントを乗っ取り、何かしら攻撃者の利益とする攻撃を総称してアカウントハイジャックと呼ばれています。

アカウントハイジャックの手法

アカウントハイジャックの発生事例にはどのようなケースがあるのでしょうか。

アカウントハイジャックには、利用者自身によるID/PWのずさんな管理に原因がある場合や、言葉巧みにID/PWを聞き出すソーシャルハッキングを巧みに悪用する手法もありますが、ここでは主にWebアプリケーションに起因する脆弱性を悪用したアカウントハイジャックを挙げています。

  • 1. セッショントークンの漏えい・傍受・推測
  • 2. セッションフィクセーション
  • 3. ブルートフォース攻撃(総当たり攻撃)
  • 4. 安全ではない認証方法(IDと暗証番号での認証など)
  • 5. 画面上に表示されているPWの盗み見(ショルダーハッキング)
  • 6. 安全ではないパスワード復旧方法
  • 7. XSSによるセッションの漏洩
  • 8. インジェクション系攻撃による漏洩(SQL、OSコマンド、LDAP、XXE、パストラバーサルなど)
  • 9. SSRFによるクラウド環境などの外部クレデンシャル情報の漏洩・盗難
  • 10. CSRFによるPWの変更強制

このように、Webプリケーションの脆弱性の多くがアカウントハイジャックに至る可能性があることが分かります。

アカウントハイジャックへの主な対策

それでは、アカウントハイジャックの被害を発生させないためにはどのような対策方法があるのでしょうか。幾つかの対策を見ていきましょう。

セッションハイジャック対策

ログインユーザを識別するためのセッショントークンは、ID/PWと同等の重要な情報です。セッショントークンが漏洩し、盗まれてしまうとアカウントハイジャックに至る場合があります。セッション管理は非常に重要であり、様々な対策が必要です。

【主な対策の例】
ログイン認証時にセッショントークンを更新する
→セッションフィクセーションへの対策となる
セッショントークンの文字列を推測困難な複雑なものにする
セッショントークンをURL内パラメタでは送信しない
→ブラウザのアドレスバーに表示されるURLはコピペが容易で漏洩しやすいため
→その他にもrefererヘッダから漏洩する場合も
通信の送受信には暗号化を強制する
→中間者攻撃による盗聴を防止
セッショントークンの有効期限を短くする

ログイン時における対策(パスワードの要件を含む)

アカウントを利用するにあたって必ず行われる、ログイン認証時においても対策が必要です。

【必要な対策の例】
ログイン認証には利用者自身が記憶するPWを求めるなど、安全な方式を採用する
アンチオートメーション対策を実装する
→ブルートフォース攻撃など、自動化された攻撃への対策
設定するパスワードの強度を検証する
→弱いパスワード、過去に漏洩したパスワードが設定されることを防ぐ
パスワードをURLのパラメタで送らない
→セッショントークンと同様で、URL内のパラメタは漏洩リスクが高い
パスワードは画面上に表示しない/パスワードの入力中を文字をマスクする
→ショルダーハッキングによる漏洩を防止

その他の対策

その他にもXSSやSQLインジェクション、CSRFといった脆弱性に起因したアカウントハイジャックのリスクも考えられます。
また、SSRFではWebアプリケーションがホスティングされているクラウド環境のクレデンシャル情報が漏洩する事例もあります。被害発生時の影響の大きいことから、クラウド環境を用いている場合の対策も考慮する必要があります。

アカウントハイジャックの被害に遭わない、発生させないために

このように、アカウントハイジャックに至る脆弱性は数多く存在しています。

これらの脆弱性の全てを可視化して把握し、対策を取るのは容易ではありません。OWASP ASVS(Application Security Verification Standard)やNIST(National Institute of Standards and Technology)といった国際的な基準に準拠した対策が行われているかを定期的に診断する、脆弱性診断が必要不可欠です

合わせてクラウド環境を利用している場合は、クラウド環境の各種権限などの設定に脆弱性が無いかを確認する診断を検討すると良いでしょう。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 海瀬 秀晃

国内某大手メーカーの社内VPNの運用・管理業務に携わり、ネットワークインフラ管理業務を経験。
2013年よりサイバーセキュリティ業界に足を踏み入れる。2016年には国内初となるSaaS型 WAFの自社開発を実現し、商品化・販売を行う。
2020年2月 株式会社SHIFT SECURITYに入社し、Web脆弱性診断の診断品質を担保する業務に従事。
情報処理安全確保支援士。恐妻家。三兄弟の父。

\ 記事をシェアする /

サービスに関する
お問い合わせ