不適切なセッション管理の例

不適切なセッション管理の実装例として、セッション ID を生成するプログラムを紹介します。

■ PerlによるセッションIDの生成

【脆弱な実装】

これはセッション ID を発行するプログラムの一部です。このプログラムではgetNewSessionId関数 を呼び出してセッション ID を生成しています。getNewSessionId関数では、ファイル /tmp/.sessionid に保存している数値を 1 ずつ増やしながらセッション ID を返します。

この実装では、セッション ID が推測可能となる脆弱性があります。

【解説】

この実装では、セッション ID を数値で表しており、1 から始めて、2、3、4 と連番で発行しています。こ のプログラムでは、最後に発行したセッション ID をファイル /tmp/.sessionid で管理しています。攻 撃者がこのサイトを利用すると、攻撃者にもセッション ID が発行されます。たとえば、攻撃者が取得し たセッション ID が「3022」であったなら、そのタイミングで「3021」のセッション ID が有効である可能性が あります。攻撃者は、セッション ID として「3021」を送信してサイトにアクセスすることで、セッション ID

「3201」が割り当てられている他の利用者のセッションを乗っ取ることができてしまいます。

こうしたセッション・ハイジャック攻撃を防止するために、セッション ID は、暗号論的擬似乱数生成器 を用いて生成するべきです。

【よくある失敗例 1】

第三者が推測可能な値に基づいたセッション ID の生成

このプログラムでは、UNIX 時間⁵⁴とプロセス ID の組み合わせをセッション ID としています。ここでは、

アクセスごとに新しいプロセスが生成される CGI 実行方式を想定しています。

このプログラムでセッション ID を生成するgetNewSessionId関数を呼び出すと、UNIX 時間（time関 数）、アンダースコア「_」、プロセス ID（変数 $$）を連結して、その連結した文字列をセッション ID として

54 1970 年 1 月 1 日 0 時 0 分 0 秒からの経過秒数を指す。UNIX 時刻やエポック秒と呼ばれることもある。

sub getNewSessionId {

my $sessid = time() . '_' . $$;

...

return $sessid;

}

sub getNewSessionId {

my $sessid = getLastSessionId ('/tmp/.sessionid');

$sessid++;

updateLastSessionId ('/tmp/.sessionid', $sessid);

return $sessid;

}

Perl Perl

3.4 失敗例（不適切なセッション管理）

返します。この関数が返すセッション ID は、例えば「1295247752_27554」等です。

このプログラムは、セッション ID の推測によるセッション・ハイジャック攻撃に対して、脆弱です。

このプログラムで、攻撃者がセッションを確立した時刻から 1 分後までに、10 個の他のセッションが 確立されたと仮定します。攻撃者は、まず、自分用に発行されたセッション ID から、自分が接続してい るウェブアプリケーションのセッションのプロセス ID が分かります。一般的に新規のプロセスにはプロ セス ID が連番で割り当てられることが多いです。攻撃者のプロセス ID が「27554」だった場合、他のセ ッションのプロセス ID は「27555」、「27556」…「27564」だと推測できます。次に、攻撃者がセッションを 確立した UNIX 時間が「1295247752」の場合、この UNIX 時間以降 1 分間の UNIX 時間は「1295247753」

から「1295247812」の範囲の値となります。推測したプロセス ID とこれらの UNIX 時間を組み合わせる と、600 通りのセッション ID が得られます。推測したセッション ID 600 通りを試行することで、セッション・

ハイジャック攻撃が成功する可能性があります。

【よくある失敗例 2】

第三者が知り得る値に基づいたセッション ID の生成

このプログラムでは、利用者の接続元 IP アドレス、ポート番号、UNIX 時間の組み合わせからハッシ ュ値を算出し、それをセッション ID としています。

このプログラムで、セッション ID を生成するgetNewSessionId関数を呼び出すと、getNewSessionId 関 数 は ま ず 利 用 者 の 接 続 元 IP ア ド レ ス （$ENV{'REMOTE_ADDR'}） 、 接 続 元 ポ ー ト 番 号

（$ENV{'REMOTE_PORT'}） 、 UNIX 時 間 （time 関 数 ） を 連 結 し て 文 字 列 を 作 成 し ま す 。 そ し て 、 getNewSessionId関数はこの文字列の SHA256 ハッシュを算出し、そのハッシュ値をセッション ID とし て返します。この関数が返すセッション ID は、例えば

「093a2031a79cb4904b1466ee7ad5faaa3afe7b787db66712f407326b213cc2a4」等です。

このプログラムではセッション ID にハッシュ値を使っているため、一見、安全そうに見えるかもしれま せん。しかし、セッション ID の生成方法が第三者に知られた場合⁵⁵には、第三者がセッション ID を推測 できる余地があります。

罠のウェブサイトへの誘導等によって、攻撃者は利用者の接続元 IP アドレスを入手できます⁵⁶。一 方、ポート番号は攻撃者が知り得えない情報です。しかし、接続元ポート番号の範囲は 1024 から 65535 であり、利用者のネットワーク環境によってはこの範囲が 2 万通り程度に限定される場合があり ます。

55 このプログラムがオープンソースで開発されている場合、またはソースコードが漏えいしてしまった場合等を想定できま す。

56 ウェブサイトに到達するまでのネットワーク経路によっては、特定の IP アドレスとならない場合があります。

use Digest::SHA qw(sha256_hex);

...

sub getNewSessionId { my $sessid = '';

$sessid = $sessid . $ENV{'REMOTE_ADDR'};

$sessid = $sessid . $ENV{'REMOTE_PORT'};

$sessid = $sessid . time();

$sessid = Digest::SHA::sha256_hex($sessid);

...

return $sessid;

}

Perl

接続元ポート番号が 2 万通りに限定されるネットワーク環境において、このプログラムのウェブアプ リケーションに利用者が接続してセッションを確立し、その 10 秒前後以内に攻撃者が利用者の接続元 IP アドレスを知ったとすると、接続元ポート番号の取り得る値 2 万通りと、UNIX 時間の 10 通りの組み 合わせから、利用者のセッション ID が取り得る値は 20 万通りです。これらのセッション ID を試行する ことで、セッション・ハイジャック攻撃が成功する可能性があります。

3.5 失敗例（クロスサイト・スクリプティング）