本文へスキップ
お問い合わせ

テクノロジ系 / セキュリティ

セッションハイジャック

セッションハイジャックは、利用者のセッションIDを盗んだり推測したりして、本人になりすます攻撃です。

別名・関連表記:セッション乗っ取り、セッションID乗っ取り、Session Hijacking

もう少し詳しく

Webサービスではログイン後にセッションIDで利用者状態を管理します。攻撃者がこのIDを入手すると、パスワードを知らなくてもログイン済み利用者として操作できる場合があります。DoS攻撃はサービスを停止・妨害する攻撃であり、セッションハイジャックとは別概念なので、旧用語名の混在を整理しました。対策にはTLS、CookieのSecure/HttpOnly属性、セッションIDの再発行、タイムアウトがあります。

試験での見方

黒猫の闇の刻印

「セッションIDを盗む」「ログイン済み状態を乗っ取る」が出たらセッションハイジャックです。「大量通信で使えなくする」はDoS攻撃です。

攻撃者が盗んだセッションIDを自分のブラウザに設定し、パスワードを知らなくても被害者としてWebサービスへアクセスします。

分類

テクノロジ系 / 技術要素 / セキュリティ

小分類:情報セキュリティ

関連トピック:攻撃手法

情報の根拠

IPA FEシラバス Ver.9.2 の用語例をもとに、試験対策向けに独自解説しています。

試験要綱 Ver.5.5 FEシラバス Ver.9.2

関連用語

DDoS攻撃・標的型攻撃 DNS キャッシュポイズニング IP スプーフィング OS コマンドインジェクション SQLインジェクション

セキュリティの用語一覧へ

科目Aの問題演習に戻る 科目Bの問題演習に戻る 基本情報 用語集トップ 基本情報トップ