Googleは、セッションクッキーを収集するマルウェアをブロックするために設計されたDevice Bound Session Credentials(DBSC)保護をWindows向けChrome 146でロールアウトしました。
macOSユーザーは、今後発表予定のChromeリリースでこのセキュリティ機能の恩恵を受けます。
この新しい保護は2024年に発表されており、ユーザーのセッションを特定のハードウェア(WindowsのTrusted Platform Module(TPM)やmacOSのSecure Enclaveなどのコンピュータのセキュリティチップ)に暗号化的にリンクすることで機能します。
機密データを暗号化・復号化するためのユニークな公開鍵/秘密鍵はセキュリティチップによって生成されるため、マシンから出力することはできません。
これにより、保護する固有の秘密鍵をマシンから出力できないため、攻撃者は盗まれたセッションデータを使用することができません。
「新しい短命セッションクッキーの発行は、Chromeがサーバーに対応する秘密鍵の所有を証明することに条件付けられている」と、Googleは本日の発表で述べています。
このキーがなければ、流出したセッションクッキーはほぼ即座に期限切れになり、攻撃者にとって無用になります。
セッションクッキーは認証トークンとして機能し、通常はより長い有効期間を持ち、ユーザー名とパスワードに基づいてサーバー側で作成されます。
サーバーはセッションクッキーを識別に使用し、ブラウザに送信します。ブラウザはオンラインサービスにアクセスする際にそれを提示します。
認証情報を提供することなくサーバーに認証することができるため、脅威アクターはインフォスティーラーと呼ばれる専門的なマルウェアを使用してセッションクッキーを収集します。
Googleは、LummaC2のような複数のインフォスティーラーマルウェアファミリーが「これらの認証情報の収集においてますます高度化している」と述べており、ハッカーはユーザーのアカウントへのアクセスを獲得することができます。
「重要なことに、高度なマルウェアがマシンにアクセスすると、ブラウザが認証クッキーを保存するローカルファイルとメモリを読み取ることができます。その結果、ソフトウェアのみを使用してどのオペレーティングシステムでもクッキーの流出を防ぐ信頼できる方法は存在しません」- Google
DBSCプロトコルはプライバシーを念頭に設計されており、各セッションは異なるキーでバックアップされています。これにより、ウェブサイトが同じデバイス上の複数のセッションまたはサイト間でユーザーアクティビティを相関させることを防ぎます。
さらに、プロトコルは所有権の証明を認証するために必要なセッションごとの公開鍵のみを必要とする最小限の情報交換を可能にし、デバイス識別子を漏らしません。
Oktaを含む複数のウェブプラットフォームとのパートナーシップでDBSCの初期バージョンを1年間テストした結果、Googleはセッション盗難イベントの著しい減少を観察しました。
GoogleはMicrosoftと提携してDBSCプロトコルをオープンウェブスタンダードとして開発し、「ウェブセキュリティを担当する業界の多くから」入力を受け取りました。
ウェブサイトは、既存のフロントエンドとの互換性を犠牲にすることなく、バックエンドに専用の登録とリフレッシュエンドポイントを追加することで、より安全なハードウェアバウンドセッションにアップグレードできます。
ウェブ開発者はDBSC実装の詳細についてGoogleのガイドを参照できます。仕様はWorld Wide Web Consortium(W3C)ウェブサイトで利用でき、説明はGitHubで見つけることができます。
