セッションハイジャック
セッションハイジャックは顧客を標的とした攻撃で、攻撃者がクライアントの Web アプリケーションへのアクセス権を使用して情報を盗取しようとします。私たちにとってこの Web アプリケーションは Salesforce です。クライアントは Salesforce で正常に認証されると、セッショントークンを受け取ります。攻撃者はそのセッショントークンを窃取して、クライアントのセッションを乗っ取ろうとします。
必要なエディション
| Salesforce Classic (使用できない組織もあります) および Lightning Experience の両方で使用できます。 |
使用可能なエディション: Enterprise Edition、Unlimited Edition、および Developer Edition Salesforce Shield または Salesforce Event Monitoring アドオンサブスクリプションが必要です。 |
リアルタイムイベント監視の SessionHijackingEvent オブジェクトは、セッションハイジャック攻撃の一種である MiTB (Man In The Browser) 攻撃に対処します。MiTB 攻撃では、攻撃者が最初にトロイの木馬プロキシのようなウイルスを仕掛け、クライアントの Web アプリケーションを侵害します。その後、ウイルスがそれ自体をクライアントのブラウザーに埋め込みます。そして、クライアントが Salesforce などの Web アプリケーションにアクセスしたときに、ウイルスがページを操作し、クライアントと Salesforce 間で共有される機密情報を収集して情報を盗取します。この種の攻撃をクライアントが検知するのは困難です。
Salesforce はこの悪者との競争で先行しており、MiTB 攻撃を検知するメカニズムを装備しています。攻撃が検知されると、Salesforce がセッションとすべての子セッションを終了し、ユーザーをログアウトして多要素認証を求めます。Salesforce ではこうした対策を講じることで、攻撃者がそのユーザーのセッションを使用して悪意のある活動を続行することを阻止します。この自動適用により、攻撃者にとってはセッションハイジャックがコスト高になり、その結果 Salesforce のお客様にとってはセッションの安全性が高まります。
Salesforce のどのお客様も、この脅威の軽減措置の対象です。イベント監視のユーザーは、こうした攻撃の詳細を表示できます。そして、攻撃に関連する有益な情報をリアルタイムで収集し、Salesforce の他のユーザーに通知を送信できます。
Salesforce でセッションハイジャックを検知する方法
Salesforce はセッションハイジャックの企みを検知するために、まずブラウザーフィンガープリントを使用して、ユーザーがログインしたデバイスを特定します。セッション内で、Salesforce がブラウザーフィンガープリントの著しい逸脱を確認した場合には、盗取された正当なセッション ID を使用して、別のデバイスから不正な活動が行われている可能性があります。 Salesforce では、セッション内のブラウザーフィンガープリントのペアごとに、セッションハイジャックのリスクスコアを計算します。そして、そのスコアを経験的に算定したしきい値と比較して、異常なユーザーセッションをリアルタイムに検知します。Salesforce が異常を検知すると、SessionHijackingEvent が生成されます。
- ブラウザーフィンガープリントの特性
ブラウザーフィンガープリントとは、集合的にデバイスを識別する特性のコレクションです。Salesforce ではこれらの特性を使用して、ユーザーがログインしたときの元のブラウザーフィンガープリントのモデルを構築します。そして、このモデルを使用して、ユーザーのセッションが乗っ取られたかどうかを検知します。 - セッションハイジャックの調査
セッションハイジャック攻撃を調査するときは、次のヒントを参考にしてください。
