セッション・フィクセーション

セッション・フィクセーション(英:session fixation)とは、悪意あるサイバー攻撃者が事前に取得したセッションIDを正規のサイトユーザーに利用させ、その利用者になりすます手法のこと。セッションIDの固定化とも言う。

セッション・フィクセーションは、悪意あるサイバー攻撃者が通常ユーザーとしてターゲットとしたウェブサイトからセッションIDを取得します。次に標的となるウェブサイトの利用ユーザーに対して、強制的に取得済みのセッションIDを利用させるなどのトラップを利用してターゲットとしたウェブサイトにログインするよう仕向けます。利用ユーザーがウェブサイトへのログインを行うと、事前に取得したセッションIDによってウェブサイトへのログインが可能になり、ログイン済みのセッションIDによるなりすましが成立する攻撃手法です。


セッション・フィクセーション攻撃には、URLにセッションIDを埋め込まない。ログアウト後にはセッションを破棄する仕様にする。HTTPヘッダインジェクションへの脆弱性対策を行う等の対策が有効となる。

関連用語

セッションハイジャック

セッションID固定化攻撃

なりすまし

APPSWINGBYの

セキュリティサービスについて

APPSWINGBYのセキュリティサービスについて、詳しくは以下のメニューからお進みください。

WordPressセキュリティ対策サービス

Worpdressセキュリティ対策サービスは、Worpressに潜む様々な脆弱性を検査・診断し、脆弱性診断によって発見されたセキュリティホールや構築時のセキュリティ未対策箇所へのセキュリティ対策を実施し、レジリエンス(強靭)なウェブサイトをつくりあげます。

クラウドセキュリティ

クラウドのメリットを最大限に活かす為には、クラウドのアーキテクチャに合わせたセキュリティ対策が必要です。APPSWINGBYでは、クラウドシステムのアセスメント・診断・セキュリティ対策・モニタリングまでワンストップでご支援致します。

リファクタリング/リアーキテクチャ

オンプレミスからクラウドへ移行する際、クラウドネイティブの機能やメリットを最大限活用したシステムへ移行する為に、アプリケーションの再設計・実装、システム全体設計を行います。システムのサーバーレス、マイクロサービス、スケール、パフォーマンス向上を実現します。

お問い合わせ・ご相談

「システム構築時から大分時間が経過しているのでセキュリティ対策の状況が不安がある」「脆弱性診断を受けたい」「サイバーセキュリティ対策に不安がある。」など、サイバーセキュリティ対策・情報漏えい対策についてのご質問・ご相談などございましたら、何でもお気軽にお問い合わせください。