セッションハイジャック(3)
ARP Poisoning
攻撃者のMACアドレスと正規ホストのIPアドレスを設定した偽のARP応答パケットを送信してARPキャッシュの内容を書き換える。
TCPシーケンス番号も偽装する必要がある。
・予防・防止
- ハブを物理的に防ぐ。不正な機器が接続できないようにする。
- 不正PCに対しての接続検知システムを導入する。
セッションフィクセーション(セッションIDの固定化攻撃)
Webアプリケーションにおけるセッションハイジャック。
ターゲットに対して攻撃者が 生成した不正なセッションIDを含むURLを送りつけ、
意図的にセッションを確立させ、そのセッションをハイジャックする攻撃。
フィッシング攻撃で多用される。
つまり、攻撃のために以下の条件が必要。
- 正規のセッションIDが容易に手に入る。
(ログイン画面とログイン後で同じセッションIDを使用している時など)
- Webサーバ側でURL Rewriting機能が有効になっている。
- そのサイトのアカウントをもつユーザにメールを送れる。
- ユーザが騙されてログインする。
・予防・防止
- WebサーバのURL Rewriting機能をOFFにする。
- ユーザのログイン後にセッションIDを再発行する。
対策(共通)
・検知・追跡
- ログから不審なセッションを探す。
- ネットワーク監視型IDS、ホスト監視型IDS,IPS、リバースプロキシサーバ、WAF、不正PC接続検知システムを使用する。
・回復
- 被害状況によって、データの復旧を行う。
- 脆弱性を特定し、対策する。