ディレクトリ チャンネル vol.31
4つ目の「セッション問題」は、自動でセッションが維持される仕組みを悪用して正規ユーザーを侵害するもの。他人のセッションを乗っ取ることから「セッションハイジャック」などの攻撃名で呼ばれる。 Webサイトでは継続的なサービスを提供するために、ユーザーごとに特有のセッションIDを生成して、どの通信がどのユーザーのものかを追跡している。セッションハイジャックの手口は、このセッションIDを予測したり、何らかの方法で盗み出してしまうものだ。例えば、単純にCookieにセッションIDを格納するだけの実装では、盗むのもたやすい。また、わざわざ盗むまでもなく、攻撃者が用意したセッションIDを正規ユーザーに意図せず利用させる「セッションフィクセーション(セッションIDのお膳立て)」という手口もある。もしもセッションIDの値が固定だとすると、正規ユーザーがWebサイトにログインしたあとに、攻撃者も同じセッションIDを使って簡単に正規ユーザーになりすますことができてしまう。 5つ目の「アクセス制御問題」は、ユーザー認証とアクセス承認の仕組みが不十分であるがために発生するものだ。本来、認証が通らなければアクセスできない保護されたデータに、認証なしでアクセスできてしまうのが具体的な侵害内容で、過去には、どこからか知り得たログイン後のURLをアドレスバーからたたくだけで、会員専用ページにアクセスできてしまった事例もある。 そして以上5種類に分類できない、メールの第三者中継、リダイレクタを用いた詐欺、フィッシング詐欺サイトなどが「各種の問題」に含まれる。 「セッション問題、アクセス制御問題、および各種の問題はほか3つよりも複雑な侵害パターンで、「そのためある程度上流の設計段階から対策が必要となるケースがある」と同氏は指摘する。