Last Updated on 2024-09-18 05:08 by 門倉 朋宏
Googleは2024年4月3日、Chrome Betaで新機能「Device Bound Session Credentials (DBSC)」の試験運用を開始したと発表した。この機能は、マルウェアによるセッションクッキーの盗難からユーザーを保護することを目的としている。DBSCは、認証セッションをデバイスに紐付けることで、クッキー盗難業界を混乱させ、盗まれたクッキーの価値を無くすことを狙っている。この機能は、攻撃者がデバイス上でのみ行動を強いられるため、アンチウイルスソフトウェアや企業が管理するデバイスにおける検出とクリーンアップがより効果的になるとされている。
DBSCは、セッションをデバイスに紐付ける暗号技術的アプローチを採用しており、サーバーが公開鍵とプライベート鍵のペアの一部としてブラウザによって作成された公開鍵をセッションに関連付けることを可能にする。この鍵ペアは、デバイス上のTrusted Platform Modules (TPMs)を使用してローカルに保存される。DBSCのAPIは、セッションの存続期間中にプライベート鍵の所持証明をサーバーが検証できるようにし、セッションが同じデバイス上でアクティブであることを保証する。
Googleは、DBSCをサポートするために、デバイスが安全にチャレンジに署名し、マルウェアによるプライベート鍵の盗難から保護する方法を持っていることが必要であると述べている。DBSCのサポートは、当初、デバイスのハードウェア能力に基づいてChromeのデスクトップユーザーの約半数に対して展開される予定である。このプロジェクトは、年末までにブラウザからサードパーティクッキーを段階的に廃止するPrivacy Sandboxイニシアティブと同期していると期待されている。
Googleは、DBSCが新たな追跡ベクトルにならないようにするとともに、サードパーティクッキーが段階的に廃止されるまでこれらのクッキーを完全に保護することを目指している。ユーザーがクッキー、サードパーティクッキー、特定のサイトのクッキーを完全にオプトアウトした場合、DBSCは無効になる。また、Googleは、Microsoft EdgeやOktaなどのブラウザベンダーやサーバープロバイダー、アイデンティティプロバイダー(IdPs)と協力しており、年末までにDBSCのオリジントライアルを開始する予定である。
【ニュース解説】
Googleは、Chrome Betaで「Device Bound Session Credentials (DBSC)」という新機能の試験運用を開始しました。この機能は、マルウェアによるセッションクッキーの盗難からユーザーを保護することを目的としています。DBSCは、認証セッションをデバイスに紐付けることで、盗まれたクッキーが価値を失うように設計されています。これにより、攻撃者はデバイス上でのみ行動を強いられ、アンチウイルスソフトウェアや企業が管理するデバイスによる検出とクリーンアップがより効果的になると期待されています。
DBSCは、セッションをデバイスに紐付けるための暗号技術的アプローチを採用しています。サーバーは、ブラウザによって作成された公開鍵をセッションに関連付けることができ、この鍵ペアはデバイス上のTrusted Platform Modules (TPMs)によってローカルに保存されます。DBSCのAPIを通じて、サーバーはセッションの存続期間中にプライベート鍵の所持証明を検証し、セッションが同じデバイス上でアクティブであることを保証します。
この技術は、デバイスが安全にチャレンジに署名し、マルウェアによるプライベート鍵の盗難から保護する能力を持っていることを前提としています。当初、Chromeのデスクトップユーザーの約半数が、デバイスのハードウェア能力に基づいてDBSCのサポートを受ける予定です。
DBSCの導入は、サードパーティクッキーを段階的に廃止するGoogleのPrivacy Sandboxイニシアティブと同期しています。これにより、DBSCが新たな追跡ベクトルにならないようにしつつ、サードパーティクッキーが完全に保護されることを目指しています。ユーザーがクッキーを完全にオプトアウトすると、DBSCも無効になります。
Googleは、Microsoft EdgeやOktaなどのブラウザベンダーやサーバープロバイダー、アイデンティティプロバイダー(IdPs)と協力しており、年末までにDBSCのオリジントライアルを開始する予定です。
この技術の導入により、セッションクッキーの盗難によるアカウント乗っ取りのリスクが大幅に低減されることが期待されます。しかし、デバイスのセキュリティがこのシステムの効果を左右するため、ユーザーと企業は引き続きデバイスのセキュリティ対策を強化する必要があります。また、この技術が広く採用されるためには、多くのウェブサイトやサービスがDBSCをサポートする必要があり、そのための標準化作業が重要になります。長期的には、DBSCのような技術がオンラインセキュリティの新たな基準となり、ユーザーのデータ保護を強化することが期待されます。
from Google Chrome Beta Tests New DBSC Protection Against Cookie-Stealing Attacks.
“Google、Chrome Betaでクッキー盗難防止の新機能「DBSC」試験開始” への1件のコメント
GoogleがDevice Bound Session Credentials (DBSC)の試験運用を始めるというニュースは、私たちのオンラインセキュリティにとって非常に重要な進展だと考えます。営業セールスマンとして、クライアントのデータ保護は業務上非常に重要な課題です。特に製薬業界では、重要な研究データや患者情報が頻繁にオンラインでやり取りされますから、セキュリティは常に最優先事項です。
DBSCがセッションクッキーの盗難から保護することによって、マルウェアによるアカウント乗っ取りのリスクを低減できるのは、非常に心強いです。この技術がセッションをデバイスに紐付けることで、盗まれたクッキーの価値を無くし、攻撃者の手口を無効化することができる点は画期的だと思います。また、デバイス上でのみアクションが可能になるということは、セキュリティ対策をより効果的に行うことができるということですし、アンチウイルスソフトウェアや企業管理下のデバイスでの検出とクリーンアップが容易になるのは大きなメリットだと考えます。
ただし、この技術が成功するためには、デバイスのセキュリティが非常に重要になります。つまり、DBSCの有効性は、デバイスのセキュリティレベルに大