セッションハイジャックの説明として適切なものはどれか。

📝 解説

セッションハイジャックは「正規ユーザーがWebサービスにログイン中に発行されたセッションIDを攻撃者が盗み取り、そのIDを使ってなりすますことでアカウントを乗っ取る攻撃」です。ホテルのキーカードに例えると、正規のお客様がチェックイン後に受け取ったルームキー（セッションID）を攻撃者に複製されてしまえば、パスワードを知らなくても部屋に入り放題になってしまうのがセッションハイジャックのイメージです。セッションIDの盗み方には①通信の盗聴（HTTPの平文通信）②XSS攻撃でCookieを窃取③固定されたセッションIDの悪用（セッション固定攻撃）などがあります。対策は①HTTPS通信の強制②Cookie属性（HttpOnly・Secure・SameSite）の適切設定③ログイン後のセッションID再生成④セッションの有効期限設定です。誤答の「ユーザのパスワードを盗む」はフィッシングなど別の攻撃、「Webサイトを改ざんする」はWebサイト改ざん攻撃の説明です。「セッションハイジャック＝セッションIDを盗んでなりすます攻撃・HTTPS化とCookie適切設定が対策」と覚えましょう！