まず結論

• セッションハイジャックとは、ユーザのセッション情報（ログイン状態）を盗んで、本人になりすまして不正アクセスする攻撃であり、SG試験では「認証後の対策ができているか」を判断させる問題として出題される。

---

直感的な説明

ログインすると、

👉「この人は本人です」という状態（セッション）が作られます。

セッションハイジャックは、 👉 この「ログイン済みの状態」を盗む攻撃です。

イメージとしては、

• 本人が入館証を持って入ったあと
• その入館証を盗んで別人が使う

👉 パスワードを知らなくても侵入できるのがポイントです。

---

定義・仕組み

セッションハイジャックは、次の流れで行われます。

1. ユーザがWebサイトにログイン
2. サーバがセッションIDを発行
3. 攻撃者がそのセッションIDを取得
4. そのIDを使って本人になりすます

---

セッションIDの取得方法（代表例）

• スニッフィング（通信盗聴）
• クロスサイトスクリプティング（XSS）
• マルウェア感染

👉 共通点は
「セッションIDを盗むこと」

---

どんな場面で使う？

攻撃されやすい場面

• 公衆Wi-Fi利用時
• 暗号化されていない通信（HTTP）
• セッション管理が弱いWebサイト

---

防ぐ場面（対策）

• HTTPS（通信の暗号化）
• セッションIDの定期変更
• ログイン後の再認証（重要操作時）
• Cookieの適切な設定（Secure属性など）

---

SG試験での考え方

👉 「認証後も安全か？」がポイント

• 認証（ID・パスワード）だけでは不十分
• セッション管理まで含めて考える

---

よくある誤解・混同

❌ 誤解①：パスワードを盗む攻撃

👉 ⭕ 違う

• セッションハイジャックは
  👉 「ログイン後の状態」を盗む

---

❌ 誤解②：中間者攻撃と同じ

👉 ⭕ 関係はあるが別物

• 中間者攻撃：通信を盗聴
• セッションハイジャック：セッションを乗っ取る

（中間者攻撃が原因になることはある）

---

❌ 誤解③：ログインすれば安全

👉 ⭕ SG試験ではここが重要

• ログイン後の管理が不十分だと不正利用される

---

SG試験のひっかけポイント

• 「認証強化（パスワード）」だけで防げるとする選択肢
  → ❌ 不十分

👉 正しくは

• セッション管理の対策が必要

---

確認問題（SG試験対策）

次のうち、セッションハイジャックの説明として最も適切なものはどれか。

A. セッションIDなどを盗み、正規利用者になりすまして操作する攻撃である。 B. 利用者にIPアドレスを自動的に割り当てる仕組みである。 C. 証明書の発行者を信頼の階層で確認する仕組みである。 D. すべてのパスワード候補を順に試す攻撃である。

▶ クリックして答えと解説を見る（ここを開く）

正解：A

解説

• A：ログイン後のセッションを奪う点が特徴です。
• B：DHCPの説明です。
• C：PKIや証明書チェーンの説明です。
• D：ブルートフォース攻撃です。

👉 判断ポイント セッションハイジャックは「認証情報そのもの」より「ログイン状態を示すセッション」を奪う。

---

まとめ（試験直前用）

• セッションハイジャック＝「ログイン状態の乗っ取り」
• パスワード不要で侵入できるのが特徴
• 対策は
  👉 HTTPS＋セッション管理
• 試験では
  👉 「認証前か認証後か」で切り分ける

🔗 関連記事

• アクセス制御モデルとは？RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
• アクセス管理とは？特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
• 認証・アクセス制御まとめ｜SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
• 認証・認可・アクセス制御の違いとは？役割の切り分けを整理【情報セキュリティマネジメント】
• 認証方式とは？3要素と多要素認証を整理【SG試験】

---

🏠 情報セキュリティマネジメントトップに戻る

← シャドーITとは？管理外ITが生むリスクと対策を整理【情報セキュリティマネジメント】 情報セキュリティマネジメント試験の出題内容とは？科目A・科目Bと勉強方法を整理 →