HOME >> 情報セキュリティ >> 脆弱性対策 >> 知っていますか?脆弱性 (ぜいじゃくせい) >> 6. セッション管理の不備

6. セッション管理の不備

2007年7月12日 掲載

イントロダクション

A子さんは最近友人の影響でネットショッピングやオークションを始めました。
最初は敬遠していましたが、便利なことに惹かれて現在はすっかりヘビーユーザです。

A子さん
「ネットショッピングって、ホント便利よね〜。」
「しばらく前は、ちょっと使うのが怖い印象もあったけど、品揃えも豊富だし、値段も安いからね♪」
「そうだ、この間雑誌に載っていた化粧品も注文しようかな、えーと何ていう商品だったかな…。」

悪者 「ふふふ…このショッピングサイトの会員になりすまして、パソコンを10台買ってしまおう。」
「注文と送り先を書き換えたぞ…。」

ネットショッピングのセッションIDのイメージ

A子さん
「どーゆー事なの、この間頼んだ商品届かないし、ワケ分からない請求が来てる!」
「もー、このショッピングサイトの管理はどうなっているのかしら!」
「困ったわ。研究所の博士に相談してみましょう。」
「博士、いったいどうしてこんなことになってしまったの?」

博士 「これは、ウェブサイトのセッション管理に問題があったようじゃ。」


セッション管理の不備とは?

博士
「ショッピングサイトなどでは、ウェブサイトが複数のユーザからの注文を受け付けており、各ユーザを区別する必要があるんじゃ。」
「そのため、ウェブサイトは各ユーザに対し、「セッションID」と呼ばれる情報を発行して管理しているんじゃ。」
「でも、このショッピングサイトの『セッションID』は、単純じゃのう…。」

セッションIDのイメージ

悪者 「セッションIDを「1235」から「1234」にしてみよう。」

攻撃のイメージ

図中の攻撃例の詳細

  1. A子さんがショッピングを開始する
  2. A子さんにセッションID1234が割り当てられる
  3. 攻撃者がウェブサイトにアクセスする
  4. 攻撃者にセッションID1235が割り当てられる
  5. 攻撃者がセッションIDを1234と偽りウェブサイトにアクセス
  6. 「ようこそA子さん」といったページが表示される

博士 「本来ユーザ以外には秘密にされるセッションIDに、推測しやすい等の問題がある場合、攻撃者がユーザになりすませてしまう可能性があるのじゃ。」
「このような問題をセッション管理の不備と呼ぶのじゃ。」


セッション管理の不備の具体的な攻撃例

博士
セッション管理に不備があると、今回の事例のように、ショッピングサイトでなりすまされて買い物をされてしまうのじゃ。」
「他に会員制のコミュニティサイトでも、なりすまされて、問題のある発言をされたり、退会させられたりするかもしれん。」
「金銭処理が発生したり、非公開の情報を扱ったりするウェブサイトや、ログイン機能を持つウェブサイトなど、これらを運営する人はセッション管理に注意が必要じゃ。」

博士 「対策は、IPAのウェブサイトの脆弱性ごとの対策ページを参照するのじゃ。」