反射攻撃【replay attack】リプレイアタック/再生攻撃

概要

攻撃者はクライアント側からサーバ側へ送信された認証データを盗み取り、サーバへのログインを試みる。サーバから認証データの送信を要求されたら盗み取ったものをそのまま送信し、本人に成り代わってアクセスを試みる。

この攻撃の特徴はパスワードなど秘密の情報そのものの入手が必要ない点で、暗号化やハッシュ化でパスワード自体が秘匿されていても、毎回同じ認証データを送信する方式の場合には攻撃者は正しく暗号化・ハッシュ化された認証データを送信することができてしまう。

対策として、毎回異なるパスワードを利用するワンタイムパスワードを導入したり、サーバ側が認証の度にランダムなデータ（ワンタイムトークン）をクライアント側へ発行し、パスワードと組み合わせてハッシュ化することで送受信するデータの内容が毎回変わるようにするなどの方法がある。