ウェブアプリケーション用セッションIDの総当たり攻撃による盗難

　今日の「ステートフル」なウェブアプリケーションのほとんどは、サイト内で実施される一連のオンライン行動を特定ユーザと結び付けるため、セッションIDを使用している。セッションIDを使用するステートメカニズムの多くは、認証及び許可メカニズムも兼ねているが、それらメカニズムに対して決して最適なものであると言えないため、セキュリティ上の問題を抱えている。

　セッションIDが攻撃者によって盗難・探知されると、反射攻撃によってユーザのウェブセッションが乗っ取られてしまうことはよく知られている。ウェブアプリケーションに対して反射攻撃を仕掛けることにより、あるユーザのID・パスワードを知らなくても、そのユーザのアカウントにログオンできてしまう。例えば、セッションIDのストリングを含む URLの探知に成功した場合、このURLをブラウザに貼り付けるだけで、セッションを乗っ取ることができる。

　反射攻撃を実施する目的で、セッションIDを推測したり、総当たり攻撃を利用して割り出すことが、どれだけ簡単であるかはあまり知られていない。前述の通り、セッションIDを盗むことにより、攻撃者はわざわざユーザの正規ID及びパスワードを入手する必要がなくなる。

　通常、セッションIDとは、クライアント/サーバ間で伝達され、クッキーまたはURL内に含まれる、長いランダムな英数字のストリングである。一旦ユーザがアプリケーション（Hotmail、Amazon, eBayなど）にログインすると、セッションIDは認証メカニズムとして保存されるため、同じウェブサイト内で違うページを読み込もうと、いちいちパスワードを入力する必要がなくなる。理想のセッションIDとは、ユーザのセッションが有効である間、攻撃者によってそのセッションIDが推測される、または計算される可能性の低いものである。

　セッションIDの作成に強力な暗号アルゴリズムを使用した場合、同じアプリケーションで作成した次のセッションIDを予想することは、ほぼ不可能である。しかし、多くのアプリケーションは、セッションIDを線形または予想しやすい方法で作成するため、攻撃者は自動プログラムを利用して、それらを推測したり、総当たり攻撃で抽出することができてしまう。セッションIDを当てることに成功した場合、ユーザの正規ID・パスワードを盗む必要なく、そのユーザのアカウントにアクセスするか、セッションを乗っ取ることができてしまう。
　本レポートは、これら多くのセッションIDが、総当たり攻撃で、いかに簡単に割り出せてしまうかについて分析する。

　尚、本レポート全文（英文）は、 http://www.idefense.com/idpapers/SessionIDs.pdf で入手可能。

※この情報はiDEFENSE社（ http://www.idefense.co.jp/ ）より提供いただい　ております。情報の内容は以下の時点におけるものです。