セッションポイズニング

セッションポイズニング（Session poisoning、別名：「セッションデータ汚染（session data pollution）」、「セッション改変（session modification）」）は、サーバーアプリケーション内の不十分な入力検証を悪用する手法である。通常、この種のエクスプロイトに対して脆弱なサーバーアプリケーションは、ユーザー入力をセッション変数にコピーしてしまう。セッション情報をクッキーに保存している場合、クッキーポイズニング（Cookie Poisoning）とも呼ばれる。

この脆弱性の根本は、状態管理の問題に起因する。それは、共有状態、競合状態、使用上の曖昧さ、あるいは状態値に対する保護されていない単純な変更などである。

セッションポイズニングは、悪意のない異なるアプリケーション（スクリプト）が同じセッション状態を共有しているものの、使用方法が異なるため曖昧さや競合状態を引き起こすようなサーバー環境において実証されている。

また、攻撃者と被害者がウェブホストを共有している場合（共用レンタルサーバーなど）のように、攻撃者がサーバー環境内に悪意のあるスクリプトを配置できるようなシナリオでも実証されている。

セッションポイズニングは、セキュリティメーリングリストである「Full Disclosure」において、未知の新しい脆弱性として初めて議論された^[1]。2006年1月、Alla Bezroutchkoは「Webアプリケーションにおけるセッションデータ汚染の脆弱性」が新しい問題なのかと問いかけた。しかし、これは以前に他者によって指摘されていた既知の脆弱性であった。Yvan Boilyは「これは既知の状態管理の問題である」とし^[2]、/someoneは「これは新しいものではない」と述べている^[3]。

これらの脆弱性の初期の例は、Bugtraqなどの主要なセキュリティリソースやアーカイブで見つけることができる。

2001年7月、reverseonline.comのIsmael Peinado PalomoによるMambo Site Serverバージョン3.0.Xの深刻なセキュリティホール^[4]
2005年9月、unknown（uw-team）およびadam_iによるPHPセッションの改変^[5]

セッション汚染は、2007年のPrzemek Sobstelによる「PHP Session Security」などの記事でも取り上げられている。^[6]

攻撃例

単純な攻撃シナリオ

この問題に対して脆弱なコード例は以下の通りである。

Session("Login") = Request("login")
Session("Username") = Request("username")

これは以下のような単純な攻撃の対象となる。

vulnerable.asp?login=YES&username=Mary

この問題は、以下のようなソフトウェアに存在する可能性がある。

ユーザーがユーザー名とパスワードを logon.asp に送信する。
Mary のパスワード確認が成功した場合、logon.asp は vulnerable.asp?login=YES&username=Mary に転送する。

問題は、vulnerable.asp が、ページが悪意のない方法でのみアクセスされるという仮定に基づいて設計されていることにある。スクリプトの設計方法を理解した者は誰でも、ログオンユーザーを任意に設定するHTTPリクエストを作成できてしまう。

同一セッション変数の曖昧な使用または二重使用の悪用

Alla Bezroutchkoは、$_SESSION['login'] が2つの異なる目的で使用されるシナリオについて論じている^[7]。

ログインスクリプトでは、セッション変数は「このユーザーはログオンしている」ことを格納する。
パスワードリセットスクリプトでは、セッション変数は「このユーザーはパスワードリセットを望んでいる」ことを格納する。

リセットスクリプトを悪用してログオンユーザーを任意に変更できるという競合状態が実証された。

任意のセッション変数への書き込みを許可するスクリプトの悪用

Alla Bezroutchkoは、開発フォーラムで観測された、任意のセッション変数への書き込みを許可してしまう例について論じている^[8]。

最初の例は以下の通りである。

$var = $_GET["something"]; 
$_SESSION["$var"] = $var2;

（ここで、$_GET["something"] はおそらく選択ボックスなどからの入力である）。攻撃は以下のようになる。

vulnerable.php?something=SESSION_VAR_TO_POISON

php.ini: register_globals = on によって可能になるセッションポイズニング攻撃

php.ini: register_globals = on は、いくつかのアプリケーションでセキュリティ脆弱性を有効にすることが知られている。PHPサーバー管理者は、この機能を無効にすることが推奨される。

注：register_globals = on によって有効になるセッションポイズニングの実例は、2001年7月の記事「Serious security hole in Mambo Site Server version 3.0.X」ですでに公に実証されていた^[9]。

/someoneによる2つ目の例は以下の通りである^[10]。

if ($condition1) { 
    $var = 'SOMETHING'; 
}; 
if ($condition2) { 
    $var = 'OTHER'; 
}; 
$_SESSION["$var"] = $var2;

これは以下の場合に脆弱である。

攻撃者が両方の条件をfalseにすることができる場合。
php.iniの設定ミス（register_globals = on）があり、GPC（GET、POST、またはCOOKIE）入力によって $var のデフォルト値を制御できる場合。

攻撃は以下のようになる。

vulnerable.php?var=SESSION_VAR_TO_POISON

共有PHPサーバー（共有Webホスティングなど）を利用したエクスプロイト

uw-team.orgの 'unknown' は、攻撃者と被害者が同じPHPサーバーを共有しているシナリオについて論じている^[11]。

攻撃はかなり容易である。

攻撃者はまず被害者のページを訪れ、例としてログオンする。
次に攻撃者は自分のアカウントにPHPスクリプトをアップロードし、$_SESSION（被害者のスクリプトによって設定されたもの）の内容を表示させる。
攻撃者はどの変数を変更する必要があるかを判断し、この変数を設定するスクリプトをアップロードして実行する。
攻撃者は被害者のページを訪れ、予想されたエクスプロイトが機能したかを確認する。

この攻撃は、被害者と攻撃者が同じPHPサーバーを共有していることのみを必要とする。攻撃者にとってセッション識別子のCookieをあるCookieドメインから別のドメインへ移動させることは些細なことであるため、攻撃は被害者と攻撃者が同じ仮想ホスト名を持っていることに依存しない。

表話編歴脆弱性、攻撃手法、エクスプロイトと対策
インジェクション (CWE-74)・入力検証不備	不適切な入力検証 (CWE-20) OSコマンドインジェクション (CWE-78) クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) LDAPインジェクション (CWE-90) コードインジェクション (CWE-94) HTTPパラメータ汚染 (CWE-235) HTTPヘッダ・インジェクション (CWE-113) HTTPリクエストスマグリング (CWE-444) HTTPレスポンス分割 (CWE-113) 書式文字列攻撃 (CWE-134) XML外部実体攻撃 (XXE) (CWE-611) Insecure Deserialization（英語版）(CWE-502) DLLサイドローディングファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）プロンプトインジェクション
Web・ブラウザ・クライアント関連	ディレクトリトラバーサル (CWE-22) クロスサイトリクエストフォージェリ (CSRF) (CWE-352) Webキャッシュポイゾニング (CWE-444) サーバサイド・リクエストフォージェリ (SSRF) (CWE-918) IDNホモグラフ攻撃 (CWE-1007) クリックジャッキング (CWE-1021) クリプトジャッキングクロスサイトトレーシング (XST) DNSリバインディングクロスサイト・クッキングリファラスプーフィング（英語版） (CWE-601) クロスゾーンスクリプティング（英語版）ドライブバイダウンロード
認証・セッション・なりすまし	セッションハイジャック (CWE-287) IPスプーフィング (CWE-290) クレデンシャル・スタッフィング (CWE-307) 権限昇格 DNSスプーフィング (CWE-345) セッションフィクセーション (CWE-384) パス・ザ・ハッシュ攻撃 (CWE-522) ファーミング (CAPEC-89) リプレイ攻撃中間者攻撃 (MITM) ARPスプーフィング MITB攻撃悪魔の双子攻撃セッションポイズニング Kerberoasting クッキーモンスター攻撃（英語版）クッキースタッフィング（英語版） in-sessionフィッシング（英語版） MOTS攻撃（英語版）
システム・メモリ・並行処理	バッファオーバーフロー (CWE-119) 整数オーバーフロー (CWE-190) スタックバッファオーバーフロー（英語版） Off-by-oneエラー (CWE-193) Return-to-libc攻撃競合状態 (Race Condition) (CWE-362) Time-of-check to time-of-use (TOCTOU) (CWE-367) TCPシーケンス番号予測攻撃 JITスプレー Spectre Use After Free（英語版）ダングリングポインタ（英語版）
暗号・サイドチャネル・ハードウェア	サイドチャネル攻撃 (CWE-203) 平文保存(CWE-312) 危殆化 (CWE-327) POODLE(CWE-757) KRACK(CWE-757) レインボーテーブル攻撃誕生日攻撃 Meltdown CRIME Intel ME（英語版） Lazy FP state restore（英語版） TLBleed（英語版）スナーフィング（英語版）コールドブート攻撃（英語版）
可用性侵害 (DoS攻撃)	DoS攻撃 (CWE-400) ICMP echoフラッド Smurf攻撃 SYN flood UDPフラッド攻撃 HTTP Flood スローロリス_(DOS攻撃ツール) ZIP爆弾 (CWE-409) Billion laughs攻撃 (XML爆弾) (CWE-776) ランサムウェアクリアチャネル評価攻撃（英語版）
電子メール関連	オープンリレーフィッシング (詐欺) (CAPEC-98) メールヘッダ・インジェクションメールボム Eメールスプーフィング（英語版）
サイバーセキュリティ・対策技術	ファイアウォール(FW) 次世代ファイアウォール(NGFW) Web Application Firewall (WAF) 侵入検知システム (IDS) 侵入防止システム (IPS) ハニーポットペネトレーションテスト Static Application Security Testing(SAST) Dynamic Application Security Testing(DAST) Interactive Application Security Testing(IAST) Endpoint Detection and Response (EDR) Endpoint Protection Platform（EPP） Network detection and response（英語版）(NDR) User and Entity Behavior Analytics（UEBA）セキュアアクセスサービスエッジ（SASE） Security information and event management (SIEM) Security Orchestration, Automation and Response (SOAR) Cloud access security broker (CASB) FIDO (認証技術) 多要素認証 (MFA) Privileged access management (PAM) Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Brand Indicators for Message Identification (BIMI) DKIM DMARC Outbound Port 25 Blocking（OP25B） Sender Policy Framework (SPF) STARTTLS S/MIME Wi-Fi Protected Access アドレス空間配置のランダム化 (ASLR) イミュータブルバックアップコンテンツスニッフィングサイバーレジリエンスセキュリティ・バイ・デザイン (SBD) セキュリティ侵害インジケーター (IoC) ソフトウェア・サプライチェーン多層防御ゼロトラスト・セキュリティモデルセキュリティオペレーションセンター CSIRT PSIRT
関連用語	MITRE ATT&CK APT攻撃 Exploit kit ゼロデイ攻撃サイバーキルチェーンクラッキングサイバー脅威インテリジェンスサプライチェーン攻撃シェルコードスクリプトキディソーシャル・エンジニアリングセキュリティホールダークウェブデジタル・フォレンジックハクティビズムハッカーブラウザクラッシャーペイロードボットネットマルウェア水飲み場型攻撃 Metasploit PPAP
セキュリティ関係団体・法律	サイバーセキュリティ基本法サイバー警察局独立行政法人情報処理推進機構（IPA）内閣サイバーセキュリティセンター（NISC）情報通信研究機構（NICT）アメリカ国立標準技術研究所（NIST）欧州ネットワーク・情報セキュリティ機関（ENISA）日本情報経済社会推進協会（JIPDEC) CRYPTREC 共通攻撃パターン一覧 (CAPEC) 共通脆弱性識別子（CVE）共通脆弱性評価システム（CVSS）共通脆弱性タイプ一覧（CWE） OWASP JPCERTコーディネーションセンター (JPCERT/CC) Japan Vulnerability Notes (JVN) 脆弱性情報データベース脆弱性報奨金制度