基本情報技術者試験「セッションハイジャック」の問題
U社のWebサービスで、攻撃者が他人のセッションIDを推測または窃取し、ログイン済み利用者になりすます事象が懸念されている。セッションIDの奪取・悪用を防ぐためにサーバ側で講じる対策として、最も適切なものはどれか。
アIDを十分長い乱数で生成し、ログイン成功の時点で新しい値へ振り直す。
イ利用者のログインパスワードに有効期限を設け、定期的な変更を継続的に促す。
ウログインの失敗回数を数え、一定回数を超えたら一時的に締め出す。
エ利用者ごとのアクセス回数を集計し、人気のあるページを把握する。
正解
ア.IDを十分長い乱数で生成し、ログイン成功の時点で新しい値へ振り直す。
セッションハイジャックはセッションIDの推測・窃取・固定化で成立する。IDを十分長い予測困難な乱数で生成すれば推測されにくく、ログイン成功の時点で新しい値へ振り直す(再発行する)ことで、ログイン前に与えたIDを使い続けさせるセッション固定攻撃も無効化できる。IDの保護という原因に直接対応した対策である。
?選択肢ごとの解説
ア ○セッションハイジャックはセッションIDの推測・窃取・固定化で成立する。IDを十分長い予測困難な乱数で生成すれば推測されにくく、ログイン成功の時点で新しい値へ振り直す(再発行する)ことで、ログイン前に与えたIDを使い続けさせるセッション固定攻撃も無効化できる。IDの保護という原因に直接対応した対策である。
イ ×パスワードの有効期限設定は認証情報の管理策であり、ログイン後に発行されるセッションIDの推測・窃取そのものは防げない。
ウ ×ログイン失敗回数の制限はパスワード総当たりへの対策で、すでに発行済みのセッションIDを推測・窃取される経路は塞がない。
エ ×アクセス回数の集計は利用分析が目的で、セッションIDの保護やなりすまし防止とは無関係である。
✎くわしく
セッションハイジャック対策の柱は『推測困難なID生成』『ログイン時の再発行(固定化対策)』『Cookie属性によるID保護』『通信暗号化による窃取防止』である。本問はIDそのものの生成と再発行に焦点があり、サーバ側の根幹対策に当たる。
✓本番での押さえどころ
試験のコツ
セッションハイジャック対策は『予測困難なID生成+ログイン時の再発行』。パスワード管理の話と混同しない。
覚え方
セッションIDは『入場後の整理券』。番号を読めなくし(乱数)、入場時に新しく配り直す(再発行)。
よくある誤り
認証強化(パスワード系)の対策に引きずられる。論点はセッションID(ログイン後の識別子)の保護であり、パスワードとは別レイヤである。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0021