Salesforce セキュリティガイド
jセッションハイジャック
| 使用可能なインターフェース: Salesforce Classic および Lightning Experience |
| 使用可能なエディション: Enterprise Edition、Unlimited Edition、および Developer Edition Salesforce Shield または Salesforce Event Monitoring アドオンサブスクリプションが必要です。 |
リアルタイムイベント監視の SessionHijackingEvent オブジェクトは、セッションハイジャック攻撃の一種である MiTB (Man In The Browser) 攻撃に対処します。MiTB 攻撃では、攻撃者が最初にトロイの木馬プロキシのようなウイルスを仕掛け、クライアントの Web アプリケーションを侵害します。その後、ウイルスがそれ自体をクライアントのブラウザに埋め込みます。そして、クライアントが Salesforce などの Web アプリケーションにアクセスしたときに、ウイルスがページを操作し、クライアントと Salesforce 間で共有される機密情報を収集して情報を盗取します。この種の攻撃をクライアントが検知するのは��難です。
Salesforce はこの悪者との競争で先行しており、MiTB 攻撃を検知するメカニズムを装備しています。攻撃が検知されると、Salesforce がセッションとすべての子セッションを終了し、ユーザをログアウトして多要素認証を求めます。Salesforce ではこうした対策を講じることで、攻撃者がそのユーザのセッションを使用して悪意のある活動を続行することを阻止します。この自動適用により、攻撃者にとってはセッションハイジャックがコスト高になり、その結果 Salesforce のお客様にとってはセッションの安全性が高まります。
Salesforce のどのお客様も、この脅威の軽減措置の対象です。イベント監視のユーザは、こうした攻撃の詳細を表示できます。そして、攻撃に関連する有益な情報をリアルタイムで収集し、Salesforce の他のユーザに通知を送信できます。
Salesforce でセッションハイジャックを検知する方法
Salesforce はセッションハイジャックの企みを検知するために、まずブラウザフィンガープリントを使用して、ユーザがログインしたデバイスを特定します。セッション内で、Salesforce がブラウザフィンガープリントの著しい逸脱を確認した場合には、盗取された正当なセッション ID を使用して、別のデバイスから不正な活動が行われている可能性があります。Salesforce では、セッション内のブラウザフィンガープリントのペアごとに、セッションハイジャックのリスクスコアを計算します。そして、そのスコアを経験的に算定したしきい値と比較して、異常なユーザセッションをリアルタイムに検知します。Salesforce が異常を検知すると、SessionHijackingEvent が生成されます。