Googleは盗まれた認証クッキーによるアカウント侵害を防ぐために、Chromeで新しいセッションクッキー保護の展開を発表しました。
Device Bound Session Credentials(DBSC)と呼ばれるこの機能は、2024年4月に発表され、Windows向けのChrome 146で利用可能になりました。macOSユーザーも、将来のブラウザリリースで利用できるようになります。
DBSCは認証セッションをユーザーのデバイスに暗号的にバインドすることで、セッションクッキー盗難と戦い、盗まれたクッキーを無用にします。
これらのトークンは通常、情報盗取マルウェアで盗まれ、サイバー犯罪プラットフォームで共有または販売されることが多く、攻撃者にパスワードなしでユーザーのアカウントにアクセスする能力を与える可能性があります。
「高度なマルウェアがマシンへのアクセスを獲得すると、ブラウザが認証クッキーを保存するローカルファイルとメモリを読み取ることができます。その結果、あらゆるオペレーティングシステム上でソフトウェアだけを使用してクッキー流出を防ぐ信頼できる方法はありません」とGoogleは述べています。
DBSCはハードウェアバックアップセキュリティモジュールに依存して一意の公開/秘密鍵ペアを生成し、Chromeは秘密鍵をサーバーに所有していることを証明するための新しい短期的なセッションクッキーを発行します。
「攻撃者はこのキーを盗むことができないため、流出したクッキーはすぐに期限切れになり、それらの攻撃者にとって無用になります」とGoogleは説明しています。
Webサイトは専用の登録およびリフレッシュエンドポイントを通じて保護を採用でき、ブラウザは暗号化とクッキーローテーションを処理するため、すべてのWebアプリは引き続きアクセス用の標準クッキーを使用できます。
Googleによると、昨年展開されたプロトコルの初期版は、DBSCが有効な場合、セッション盗難の大幅な削減を実証しました。
各ブラウザセッションが異なるキーでバックアップされているため、Webサイトはそれを使用してセッション間またはサイト間でユーザーを追跡することはできません。さらに、デバイスはフィンガープリンティングとクロスサイトトラッキングを防ぐために、識別子または認証データをサーバーと共有しません。
Googleによると、DBSCはW3Cプロセスを通じてオープンなウェブ標準として構築され、Microsoftはその設計を支援しました。Oktaおよびその他のWebプラットフォームがDBSCをテストし、実装の詳細がWebデベロッパーのガイドに含まれています。
Googleはまた、クロスオリジンバインディングをサポートするようにDBSCを拡張し、DBSCセッションを既存の信頼できるキー素材に結びつけるための高度な登録機能を実装し、潜在的にソフトウェアベースのキーを追加して、専用のセキュアハードウェアを持たないデバイスで保護を利用可能にすることで、フェデレーション化されたアイデンティティをセキュアにするために取り組んでいます。
翻訳元: https://www.securityweek.com/google-rolls-out-cookie-theft-protections-in-chrome/
