セッションハイジャック対策の一番簡単で低効果のものは、
セッション発行時のIPもセッション情報に保持して、突合せ。
ただし、接続ごとにIPの変わる可能性のある携帯電話では別の仕掛けが必要。

で、FA?