ALB が生成する Cookie（AWSALB、AWSALBCORS）をユーザー側で変更可能か教えてください

困っていた内容

ALB で稼働するWebサービスにセキュリティ診断を実施したところ、ALB が生成する Cookie（AWSALB、AWSALBCORS）について以下のような指摘がありました。

• SameSite=Lax もしくは SameSite=Strict を指定してください
• secure属性やHttpOnly属性を付与してください など

AWS が生成する Cookie に対して、ユーザー側で属性の変更や追加を行うことは可能でしょうか？

どう対応すればいいの？

ALB が生成する Cookie は暗号化されているため、ユーザー側で属性の変更や追加を行うことはできません。

参考：Application Load Balancer のスティッキーセッション

ロードバランサーが生成した Cookie の内容は、回転キーを使用して暗号化されます。ロードバランサーが生成した Cookie を復号化または変更することはできません。

ただしこれらの Cookie は、ALBがセッションを維持（ターゲットを識別）するための情報のみ含んでおり、ユーザーの機密情報は含まれておりません。また、ターゲットに関する情報もローテーションキーを使用して暗号化されており、ALB 外部で復号や編集を行うことはできません。

従いまして当該 Cookie にsecure属性やHttpOnly属性がないことが、実際にセキュリティ上の問題となることはないとお考えください。

参考資料

• Application Load Balancer のスティッキーセッション

アノテーション株式会社について

アノテーション株式会社は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。「らしく働く、らしく生きる」のスローガンを掲げ、様々な背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けてきました。現在当社では一緒に会社を盛り上げていただけるメンバーを募集中です。少しでもご興味あれば、アノテーション株式会社WEBサイトをご覧ください。