2025年7月30日Ravie Lakshmananデバイスセキュリティ / AIセキュリティ
Googleは、ユーザーをセッションCookieの盗難攻撃から保護するためのセキュリティ機能であるDevice Bound Session Credentials(DBSC)をオープンベータとして提供開始したと発表しました。
DBSCは、2024年4月にプロトタイプとして初めて導入され、認証セッションをデバイスに紐付けることで、脅威アクターが盗まれたCookieを使って被害者のアカウントにサインインし、自分の管理下にある別のデバイスから不正アクセスするのを防ぐことを目的としています。
「Windows版Chromeブラウザで利用可能なDBSCは、ログイン後のセキュリティを強化し、ウェブサイトがユーザー情報を記憶するために使用する小さなファイルであるセッションCookieを、ユーザーが認証したデバイスに紐付けるのに役立ちます」と、Google Workspaceのプロダクトマネジメント シニアディレクターであるAndy Wen氏は述べています。
DBSCは、ユーザーアカウントの認証後のセキュリティ確保だけでなく、悪意のある攻撃者によるセッションCookieの再利用を非常に困難にし、セッションの完全性を向上させます。
また同社は、パスキーサポートが1,100万以上のGoogle Workspace顧客に一般提供され、パスキーの登録監査や物理セキュリティキーへの制限など、管理者向けのコントロールも拡張されたことを明らかにしました。
最後に、Googleは重要なセキュリティシグナルをOpenID標準を用いてほぼリアルタイムで交換できるようにするため、選ばれた顧客向けに共有シグナルフレームワーク(SSF)のレシーバーをクローズドベータで展開する予定です。
「このフレームワークは、『送信者』が重要なイベントを『受信者』に迅速に通知できる堅牢なシステムとして機能し、セキュリティ脅威への協調的な対応を促進します」とWen氏は述べています。
「脅威の検知や対応にとどまらず、シグナル共有はデバイスやユーザー情報など、さまざまな属性の一般的な共有も可能にし、全体的なセキュリティ体制や協調的防御メカニズムをさらに強化します。」
Google Project Zero、報告の透明性を発表#
この動きは、ゼロデイ脆弱性の発見を担当する社内のセキュリティチームであるGoogle Project Zeroが、アップストリームパッチギャップと呼ばれる問題に対処するため、新たな試験的方針「報告の透明性」を発表したことを受けたものです。
パッチギャップとは通常、脆弱性の修正がリリースされてからユーザーが適切なアップデートをインストールするまでの期間を指しますが、アップストリームパッチギャップは、アップストリームベンダーが修正を用意しているものの、ダウンストリームの顧客がまだパッチを統合してエンドユーザーに提供していない期間を指します。
このアップストリームパッチギャップを解消するため、Googleは関連ベンダーに脆弱性を報告してから1週間以内に、その発見を公に共有する新たなステップを追加すると述べています。
この情報には、報告を受けたベンダーやオープンソースプロジェクト、影響を受ける製品、報告日、および90日間の開示期限が切れる日が含まれる予定です。現時点のリストには、Microsoft Windowsのバグ2件、Dolby Unified Decoderの脆弱性1件、Google BigWaveの問題3件が含まれています。
「この試験的方針の主な目的は、透明性を高めることでアップストリームパッチギャップを縮小することです」とProject ZeroのTim Willis氏は述べています。「脆弱性がアップストリームに報告されたという早期のシグナルを提供することで、ダウンストリームの依存先により良い情報を提供できます。少数の課題については、ユーザーに影響を及ぼす可能性のある問題を監視するための追加情報源となります。」
Googleはさらに、この原則を、昨年DeepMindとGoogle Project Zeroの協力で脆弱性発見を強化するために立ち上げられた人工知能(AI)エージェントであるBig Sleepにも適用する計画であると述べています。
また、Googleは、技術的な詳細や概念実証コード、悪意のある攻撃者を「実質的に支援」する可能性のあるその他の情報は、期限まで公開しないことを強調しました。
この最新のアプローチにより、Google Project Zeroは、エンドユーザーが利用するデバイス、システム、サービスへのパッチ提供をより迅速に進め、全体的なセキュリティエコシステムを強化することを目指しています。
翻訳元: https://thehackernews.com/2025/07/google-launches-dbsc-open-beta-in.html