トピックス 2021.10.26 Cookie（クッキー）を狙ったサイバー攻撃が増加している？利用するときの危険性や対処法を解説

CookieとはWebサイトを閲覧したときに、Webサーバーから発行されるテキストファイルのことです。一度訪れたサイトから使っているパソコンやスマホなどに送信され、情報が蓄積されます。テキストファイルの中には、IDやパスワードなどが保存されています。

次回以降にサイトを訪れたら、デバイスに保存されているテキストファイルをWebサーバーへ送るのです。そうすることで前回の情報が引き継がれて表示される仕組みです。

しかし、Cookieを狙ったサイバー攻撃が増えており、危険性が問題視されつつあります。把握していないと、知らない間に個人情報が抜き取られる可能性があるので注意が必要です。

そこで、この記事ではCookieの危険性を解説していきます。サイバー攻撃の対処法も解説するので、ぜひ参考にしてみてください。

CookieはWebサーバーから送られてくるテキストファイルですが、さまざまな種類があります。

Cookieの種類は以下のとおりです。

● 1st party Cookie
● 3rd party Cookie

1st party Cookieは、ユーザーがアクセスしているサイトから発行されます。会員登録や商品を購入するときの注文画面で、名前や住所などの必要情報を自動的に入力する役割があります。

さらに通販サイトで商品をカートに入れたまま、違うサイトを訪れても情報を保持する仕組みです。また企業からすると、前回のユーザーが取った行動の確認・管理ができます。

3rd party Cookieは訪問しているサイト以外から発行されます。例えば通販サイトAで閲覧していた商品が、通販サイトBの広告で表示されるのは、3rd party Cookieを利用しているからです。

また企業からすると、ユーザーの過去の閲覧履歴から、興味のある広告を打つことが可能です。そのため、広告の効果が期待できます。

Cookieと似たような機能にキャッシュがあります。

キャッシュとはWebサイトの情報を一時的に保存する仕組みです。次回以降に同じサイトを訪れるとき、ページの表示速度を高める効果があります。

Webサイトを表示させるには、サイト内のデータをダウンロードする必要があります。ページのデータ量が多いほど、ダウンロードに時間がかかり、表示されるまでの速度が遅いです。

デバイスにWebサイトの情報を蓄積しておけば、再度訪れたときにすぐ表示されます。

キャッシュにはサイトへログインするためのIDやパスワードなどの保存はできません。サイト内で入力項目が必要になっても、自動的に入力されることはないです。さらにユーザーの過去の閲覧履歴に基づいた広告の表示はできません。

Cookieはさまざまなシーンで活用されています。

活用シーンは以下のとおりです。

● ECサイト
● フォーム画面
● 広告
● アクセス解析

1つ目は「ECサイト」です。Cookieではログイン情報やカートの商品などを保存できます。サイトにログインしたまま閉じてしまっても、再度訪れたときに再度ログインする必要はありません。

2つ目は「フォーム画面」です。Cookieでは過去に入力した情報を保存することが可能です。メールアドレスや住所などは長いので、入力するのに手間がかかります。自動的に候補として表示してくれるので、入力する手間を省けます。

3つ目は「広告」です。Cookieの情報を把握すると、ユーザーの閲覧履歴から興味を持ちやすい傾向がわかります。ユーザーごとにピンポイントで広告を打てるので、成約率の向上が見込めます。さらに、過去にサイトを訪問したかどうかの確認も可能です。

4つ目は「アクセス解析」です。CookieではサイトのPV（サイトの閲覧数）だけでなく、滞在時間やページ遷移などを把握できます。解析結果を元にサイトの弱点を改善すれば、アクセスを増やすことが可能です。

Cookieは非常に便利な機能ですが、危険性もあります。

Cookieで考えられる危険性は以下のとおりです。

● 共有デバイスによる情報漏洩
● Tracking Cookie
● セッションハイジャック

1つ目は「共有デバイスによる情報漏洩」です。Cookieは、Webサイトから送られてくる情報をデバイスに保存します。複数人が使用する共有デバイスでCookieを保存したままにすると、第三者に悪用される危険があります。

特にクレジットカード情報をそのままにすると、不正利用される可能性があるでしょう。共有デバイスを利用した後は、Cookieを削除する必要があります。

2つ目は「Tracking Cookie」です。ユーザーのアクセス履歴を追跡することからTracking Cookieと呼ばれています。Cookieはサイトの他に画像への設定が可能です。人によってはプライバシー侵害の考えもあるので、設定するときには注意が必要です。

3つ目は「セッションハイジャック」となります。セッションハイジャックとは、セッションIDを盗取して、本人になりすまして通信を行うことです。サイバー攻撃の一種であり、Cookieの情報を盗まれることでも起こり得ます。

SSL化で通信が暗号化されていても、セッションIDさえわかってしまえば、ログイン状態が再現されるので非常に危険です。

セッションハイジャックによる被害は以下が考えられます。

● 機密情報の漏洩
● オンラインバンクの不正出金
● 登録情報の改ざん
● クレジットカードの不正利用

上記のようにセッションハイジャックには、さまざまな被害が出るので、しっかり対策を行う必要があります。

セッションハイジャックは、セッションIDを盗まれることが原因です。

以下の対策を実施してセッションハイジャックを防ぎましょう。

● セッションIDを変更する
● URLにセッションIDを含めない
● 管理ツールを導入する
● ワンタイムセッションIDを発行する

まずセッションIDを定期的に変更しましょう。第三者にIDが知られている場合、変更すればアクセスできなくなります。

続いて、サイトのURLにセッションIDを含めている場合があります。そうすると、第三者が容易にアクセスできる原因になるのです。URLにIDを含めないようにしましょう。

また、セッションIDは自分で管理する必要があります。しかし、簡単にわかってしまう管理方法だと、容易にアクセスされる可能性があるので注意が必要です。自分でセッションIDを管理するのが難しい方は、管理ツールの導入がおすすめです。

セキュリティ対策をしながら管理ができるので、セッションハイジャックの対策になります。

最後に、ワンタイムセッションIDの発行も有効的です。アクセスするごとに違うIDを使うので、第三者から攻撃されづらくなります。

2010年にApache（アパッチ）のバグトラッキングソフト「JIRA」をホスティングしているサーバーが、セッションハイジャックされました。

同サーバーの管理者がXSS（クロスサイトスクリプティング）を行う意図で添付されたURLを踏んだのが原因です。セッションを含むCookieが窃取され、管理者権限が奪われました。さらにサーバーへの不正アクセスを許してしまいました。

また、同時に「JIRA login.jsp」へブルートフォース攻撃を実施することで、JIRAアカウントのパスワードの略取を狙われることになります。

事件の結果JIRAやBugzilla、Confluenceユーザーのハッシュ化されたパスワードの流出が懸念されました。

 CookieはサイトのWebサーバーから送られてくるテキストファイルのことです。一時的に保存することで、通販サイトでのフォーム入力や広告の投稿に活用できます。

ただし、 Cookieを狙ったサイバー攻撃が増加しているので注意が必要です。特にセッションハイジャックは非常に危険で、情報漏洩する危険があります。

セッションIDを盗まれることが原因なので、定期的に変更したり、管理ツールを導入したりして対策をするのが重要です。

 Cookieを利用している方は、情報漏洩を防ぐためにしっかり対策を取りましょう。

過去にもCookie（クッキー）について説明した記事がありますのでそちらも参考にしてみて下さい。

有効にしても大丈夫？ネットで見かける「クッキー」の仕組み
https://securitynews.so-net.ne.jp/topics/sec_20034.html

【参考記事】

クッキー（Cookie）とは？削除方法や「Cookieを有効にする」方法など解説
https://www.onemarketing.jp/knowledge/word/cookie

Cookie（クッキー）の正体とは？意味、危険性や削除方法を解説
https://utilly.jp/article/websitecookie/

Cookie（クッキー）とは | スマホでの設定・危険性・削除方法を解説
https://boxil.jp/mag/a2856/#2856-14

セッションハイジャックとは？その原因と対策を徹底解説
https://cybersecurity-jp.com/security-measures/18583

有効にしても大丈夫？ネットで見かける「クッキー」の仕組み
https://securitynews.so-net.ne.jp/topics/sec_20034.html

TEXT：セキュリティ通信 編集部
PHOTO：iStock