情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ 問5: セッション ID の固定化(Session Fixation)攻撃の手口はどれか。
←情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ
セッション ID の固定化(Session Fixation)攻撃の手口はどれか。
問題本文
セッション ID の固定化(Session Fixation)攻撃の手口はどれか。
選択肢
- ア.HTTPS 通信で Secure 属性がない Cookie にセッション ID を格納する Web サイトにおいて,HTTP 通信で送信されるセッション ID を悪意のある者が盗聴する。
- イ.URL パラメタにセッション ID を格納する Web サイトにおいて,Referer によってリンク先の Web サイトに送信されるセッション ID が含まれた URL を,悪意のある者が盗用する。
- ウ.悪意のある者が正規の Web サイトから取得したセッション ID を,利用者の Web ブラウザに送り込み,利用者がそのセッション ID でログインして,セッションがログイン状態に変わった後,利用者になりすます。
- エ.推測が容易なセッション ID を生成する Web サイトにおいて,悪意のある者がセッション ID を推測し,ログインを試みる。
正解
ウ. 悪意のある者が正規の Web サイトから取得したセッション ID を,利用者の Web ブラウザに送り込み,利用者がそのセッション ID でログインして,セッションがログイン状態に変わった後,利用者になりすます。
解説
セッションIDの固定化攻撃は、攻撃者が事前に取得した有効なセッションIDを利用者のブラウザに埋め込み、利用者がそのIDのままログインするのを待ち、認証後のセッションを乗っ取る手口。ウがこの流れを正しく述べている。対策はログイン成功時にセッションIDを必ず再発行することで、これにより攻撃者が知るIDは無効になる。
選択肢ごとの解説
- ア.Secure属性のないCookieが平文で漏れるのは盗聴の問題で、IDを固定させる攻撃ではない。
- イ.URL中のセッションIDがRefererで漏れる話で、固定化ではなくID漏えいの問題である。
- ウ.事前に用意したIDを利用者に使わせ、ログイン後に乗っ取る流れがまさに固定化攻撃で、正解。
- エ.推測しやすいIDを当てるのはセッションID推測であり、固定化とは異なる手口。
情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ の過去問一覧へ戻る・問5