情報処理学会 第86回全国大会 会期:2024年3月15日~17日

5ZC-02
Web サービスのセッション窃取攻撃耐性の評価
○川合健太,嶋田 創(名大)
現在多くの Web サービスにおいて多要素認証(MFA)が利用されており,悪意ある攻撃者にとって認証情報窃取が難しくなっている.このような状況では攻撃者にとって,認証情報窃取よりもセッション窃取の方がコスト対性能比が良くなる傾向にある.そこで,代表的ないくつかの Web サービスのセッション窃取耐性の評価を行い,サービスの頑健性を検証する.具体的には,複数の大手 Web サービスを対象にツールを用いてセッション情報やエージェント情報を操作し,セッション窃取に必要な Cookie の分析やウェブブラウザの情報をセッション情報として利用しているかなどの評価を実施する.