基本情報技術者試験 ap-2021r03h-a 午前 問44: Web システムにおいて，セッションの乗っ取りの機会を減らすために，利用者のログアウト時に Web サーバ又は Web ブラウザにおいて行うべき処理はどれか。こ

問題本文

Web システムにおいて，セッションの乗っ取りの機会を減らすために，利用者のログアウト時に Web サーバ又は Web ブラウザにおいて行うべき処理はどれか。ここで，利用者は自分専用の PC において，Web ブラウザを利用しているものとする。

選択肢

• ア.Web サーバにおいてセッション ID を内蔵ストレージに格納する。
• イ.Web サーバにおいてセッション ID を無効にする。
• ウ.Web ブラウザにおいてキャッシュしている Web ページをクリアする。
• エ.Web ブラウザにおいてセッション ID を内蔵ストレージに格納する。

正解

イ. Web サーバにおいてセッション ID を無効にする。

解説

セッションの乗っ取りとは、利用者を識別するセッションIDを攻撃者が何らかの方法で入手し、そのIDを使って利用者になりすます攻撃である。ログアウトした後もサーバ側でセッションIDが有効なままだと、漏えいしたIDで再びアクセスされる恐れがあるため、ログアウト時にサーバ側でセッションIDを無効化（破棄）するのが最も効果的であり、選択肢イが正解である。

選択肢ごとの解説

• ア.セッションIDをサーバの内蔵ストレージに格納する処理は、IDを保存するだけで無効化にはならず、乗っ取りを防げないため誤りである。
• イ.ログアウト時にサーバ側でセッションIDを無効にすれば、たとえそのIDが漏えいしても以後は使えなくなり、乗っ取りの機会を直接減らせるため正解である。
• ウ.ブラウザのキャッシュ消去は表示内容の残留を防ぐ程度の効果しかなく、サーバ側で有効なセッションIDによるなりすましは防げないため誤りである。
• エ.ブラウザの内蔵ストレージにセッションIDを格納する処理は、IDを残すことになり、無効化とは逆の動作であるため誤りである。