Es altamente probable.... por lo que no vas a poder confiar en la direccion IP que leas, para resolverlo, hay que saber como se esta generando la sesion en la funcion session_regenerate_id, mientras tanto lo que yo hago es crear un token al azar y almacenarlo en una base de datos con una hora de salida, ese token lo asigno a la superglobal de session y lo comparo cada vez que el usuario entra, pero ademas se genera uno nuevo y se repite el ciclo, hasta que expire el tiempo de salida o el usuario decida salir...

Como el token varia cada vez que el usuario visita la pagina (aunque sea la misma) es muy dificil poder robarlo