Googleは、ChromeのDevice Bound Session Credentials(DBSC)セキュリティ機能が正式に一般提供となり、アカウント乗っ取りを防止するためにすべてのユーザーへの展開が始まったと発表しました。
4月からベータ版として提供されていたDBSCは、セッションCookieを特定のデバイスに暗号的に紐付け、ハッカーが盗んだCookieを使って多要素認証(MFA)を回避しユーザーのアカウントを乗っ取ることを防ぐ手段として2024年に初めて発表されました。
DBSCは、ユーザーセッションをハードウェア(たとえばWindowsのトラステッドプラットフォームモジュール(TPM)やmacOSのSecure Enclaveなど、コンピューターのセキュリティチップ)に暗号的に結びつけることで機能します。
機密データの暗号化・復号に使われる固有の公開鍵/秘密鍵はセキュリティチップによって生成されるため、盗み出すことができず、攻撃者が盗んだセッションCookieを悪用することを防ぎます。
「DBSCは、反応的な検出から積極的な予防へとパラダイムをシフトさせることで、ウェブが本脅威に対抗する能力を根本的に変えます。これにより、流出に成功したCookieがユーザーのアカウントへのアクセスに使用されることを確実に防ぎます」とGoogleは4月に述べました。
「DBSCはログイン後のアカウントセキュリティを強化し、ウェブサイトがユーザー情報を記憶するために使用する小さなファイルであるセッションCookieを、ユーザーが認証したデバイスに紐付けるのに役立ちます。たとえマルウェアがユーザーのデバイスに存在していたとしても、DBSCはセッション盗難のリスクを低減し、悪意ある攻撃者が盗んだセッションCookieを悪用することを著しく困難にします」と今週付け加えました。
この機能は現在、すべてのGoogle Workspaceカスタマー、Workspace個人サブスクライバー、および個人Googleアカウントのユーザーへの展開が始まっています。
Googleは、展開時にすべてのGoogle Workspaceカスタマーに対してデフォルトで有効化され、管理者はこれを無効にできないと付け加えました。
過去には、脅威アクターが非公開のGoogle OAuth「MultiLogin」APIエンドポイントを悪用し、盗んだCookieの有効期限が切れた後に新しい認証Cookieを生成していました。
情報窃取マルウェアのLummaおよびRhadamanthysの運営者は、攻撃で盗んだ有効期限切れのGoogle認証Cookieを復元し、感染したユーザーのGoogleアカウントにアクセスできると主張していました。
当時、Googleは顧客に対してデバイスからマルウェアを削除するよう勧告し、フィッシングやマルウェア攻撃から身を守るためにChromeの「セーフブラウジング(強化版)」モードを有効にすることを推奨しました。
しかし、新しいChrome Device Bound Session Credentials(DBSC)セキュリティ機能は、悪意ある攻撃者が盗んだCookieを悪用することを効果的にブロックするはずです。なぜなら、Cookieの使用に必要な暗号鍵にアクセスできないためです。
検証のギャップ:自動ペネトレーションテストが答えるのは1つの問いだけ。あなたには6つが必要です。
自動ペネトレーションテストツールは真の価値を提供しますが、それらは「攻撃者はネットワーク内を移動できるか?」という1つの問いに答えるために作られています。コントロールが脅威をブロックするか、検知ルールが発動するか、クラウド設定が維持されるかをテストするためには作られていません。
このガイドでは、実際に検証が必要な6つの領域を解説します。
