法律コンビニ!街の法律家として皆様のお役に立ちたい。

行政書士とセキュリテイ30

行政書士とセキュリテイ30
 以前閲覧したwebサイトを快適に閲覧できるセッションID(Webページにアクセスしたユーザーが、そのページ内で行う一連の動作を1セッションと数えている。たとえば、ユーザー名とパスワードを入力して認証を行ってログインした場合、ログアウトしてそのWebページを退出するまでが、1セッションである。)を盗んで本人になりすますサイバー攻撃がセッションハイジャックサイバー攻撃である。

 簡単に言えば、盗んだ免許証やパスポート使って悪さをするサイバー攻撃である。被る被害には
○正規ユーザーになりすまして、機密情報を盗む
○正規クライアントになりすまして、サーバに侵入する
○オンラインバンクの不正出金
○登録情報の漏洩や改ざん
○クレジッドカードの不正利用などがある

 セッションIDを盗む方法は
①セッションIDを推測
②ユーザーからセッションIDを奪取

対策には、セッション管理ツールでIDを管理することである。

2022/4/1