Googleは、Device Bound Session Credentials(DBSC)をWindowsのChromeブラウザで正式に一般提供開始しました。
このアーキテクチャ上の刷新は、現代のサイバーセキュリティにおいて最も広く見られる脅威の一つ――セッションCookieの窃取とトークン流出――に対する強力な防御機構をもたらします。
これまでGoogle Workspace環境向けのベータテストに限定されていたDBSCは、現在すべてのWorkspaceティア、Individualサブスクリプション、そして個人のGoogleアカウントでデフォルト有効化されました。
Googleによれば、この変更は認証後のセキュリティにおいて重要な転換点を意味します。ログイン時の境界防御だけに頼るのではなく、セッションのライフサイクル全体を通じて継続的に信頼を検証する仕組みへと進化しています。
Google ChromeのDBSCが正式提供へ
攻撃者はセッションCookieを狙い続けることで、多要素認証(MFA)や条件付きアクセスポリシーを回避しようとします。特にインフォスティーラー型のトロイの木馬は、侵害されたエンドポイントからこれらの小さな認証ファイルを日常的に収集しています。
一度流出したCookieは、攻撃者が自身のブラウザに注入することでアクティブなウェブセッションを乗っ取るために悪用されます。
この「Pass-the-Cookie」攻撃手法を使えば、ユーザーの平文パスワードやアクティブなMFAトークンを一切必要とせず、機密性の高い企業ネットワークやクラウドインフラへの不正アクセスが可能になります。
DBSCはセッションの信頼を検証する仕組みを根本から変えることで、この攻撃手法を無力化します。この技術は、セッションCookieを最初の認証フェーズで使用した特定の物理デバイスに暗号的に紐付けます。
インフォスティーラーが侵害されたWindowsマシンからセッションCookieを取り出すことに成功したとしても、そのトークンは別のハードウェア上では機能しません。
セッションを元のエンドポイントに紐付けることで、DBSCは初期アクセスや横展開(ラテラルムーブメント)に窃取トークンを悪用する高度な脅威アクターにとって、作戦遂行のコストと複雑さを大幅に引き上げます。
GoogleはDBSCをContext-Aware Access(CAA)と統合することで、その防御力をさらに強化しています。両機能を組み合わせた組織は、精密なデバイス属性・行動分析・環境シグナルに基づいた、きめ細かなゼロトラストアクセスポリシーを適用できます。
Workspace管理者は、認証後のセキュリティに関する可視性も向上します。DBSCのバインディングイベントは、セキュリティ調査ツールの監査ログにネイティブに記録されます。
セキュリティチームには、これらのログを定期的に確認して通常のバインディング動作のベースラインを確立し、アクティブなセッションハイジャックの試みを示す可能性のある逸脱を積極的に検出することが強く推奨されます。
Googleは2026年5月25日にDBSCの段階的な展開を開始し、Rapid ReleaseドメインとScheduled Releaseドメインの両方が対象となっています。機能の完全な可視化は60日以内に完了する見込みです。本機能は以下のグループに広く提供されます。
- すべてのGoogle Workspaceユーザー
- Workspace Individualサブスクライバー
- 個人のGoogleアカウントユーザー
特筆すべき点として、エンタープライズのセキュリティチームはこの保護機能を展開するために管理操作を行う必要がありません。DBSCはブラウザレベルでデフォルト動作し、管理コンソールには意図的にオフスイッチが設けられていません。
これにより、セッションハイジャックに対する普遍的な保護が確保され、高度持続的脅威(APT)が悪用しがちなポスト侵害後の永続化手法に対するエンタープライズの露出リスクが大幅に低減されます。
翻訳元: https://gbhackers.com/google-chromes-dbsc/
