Cookie盗難には確立されたパターンがあります。情報盗取マルウェアがデバイスに侵入し、認証Cookieを抽出し、攻撃者が管理するサーバーに流出させます。Cookieはしばしば長い有効期限を持つため、攻撃者はパスワードなしでアカウントにアクセスでき、その後盗まれた認証情報をまとめて売却します。マルウェアがマシンへのアクセスを獲得すると、ブラウザが認証Cookieを保存するローカルファイルとメモリを読み取ることができます。
DBSCが行うこと
GoogleのDevice Bound Session Credentials(DBSC)は現在、Chrome 146のWindowsユーザーに向けて一般提供されており、macOSサポートは後続のリリースで提供予定です。
このプロトコルは、ハードウェアバックアップセキュリティモジュール(WindowsのTrusted Platform Module(TPM)とmacOSのSecure Enclave)を使用して、認証セッションを特定のデバイスに暗号的にバインドします。これらのモジュールは、マシンから外部に流出できない一意の公開秘密鍵ペアを生成します。
ブラウザとサーバー間の相互作用を示すDBSCプロトコルの概要(出典:Google)
セッションがアクティブな場合、Chromeはサーバーが新しいセッションCookieを発行する前に、対応する秘密鍵の所持をサーバーに証明する必要があります。これらのCookieは有効期限が短いです。これらを流出させた攻撃者は、Cookieが急速に失効し、デバイスを離れることができない秘密鍵なしでは更新できないことに気付きます。
「このデザインにより、大規模および小規模なウェブサイトは、既存のフロントエンドとの完全な互換性を保ちながら、バックエンドに専用の登録および更新エンドポイントを追加することで、セキュアなハードウェアバインドセッションへアップグレードできます。ブラウザは複雑な暗号化とCookieのローテーションをバックグラウンドで処理し、ウェブアプリはいつも通り標準Cookieをアクセス用に使用し続けることができます。」とGoogleの研究者は説明しています。
Googleは過去1年間、自社のプロパティ全体でプロトコルの以前のバージョンを運用してきました。DBSCで保護されたセッションの場合、Googleはデプロイメント開始以来、セッション盗難の大幅な削減を観察しています。
プライバシー特性
各DBSCセッションは異なる暗号化キーでバックアップされています。このアーキテクチャにより、ウェブサイトは認証情報を使用して同じデバイス上の異なるセッションまたはサイト間でユーザーのアクティビティを相関させることができません。プロトコルはデバイス識別子またはアテステーションデータをサーバーに送信しません。所持証明を検証するために必要なセッション単位の公開鍵のみを共有します。この制限により、DBSCはデバイスフィンガープリンティングメカニズムとして機能したり、クロスサイトトラッキングを有効にしたりすることができません。
標準化と業界関与
DBSCはW3Cプロセスを通じて開発され、ウェブアプリケーションセキュリティワーキンググループによって採択されました。Googleはこの標準の設計についてMicrosoftと協力しました。Googleはまた、より広いウェブコミュニティからフィードバックを集めるため、過去1年間に2回のOrigin Trialsを実施しました。Oktaはこれらのトライアルに参加したウェブプラットフォームの1つであり、プロトコルが運用要件を満たすかどうかについてのフィードバックを提供しました。
次のステップ
DBSCに関するGoogleの継続的な開発作業は3つの領域をカバーしています。1つ目はフェデレーション化されたアイデンティティです。シングルサインオンが一般的なエンタープライズ環境では、チームはクロスオリジンバインディングを構築しており、依存当事者セッションが初期のアイデンティティプロバイダーログイン中に使用されたものと同じデバイスキーに継続的にバインドされたままになり、フェデレーションプロセス全体で信頼の連鎖を保持します。
2番目の領域は高度な登録です。セッションが最初に作成される時点で、より強力な保証が必要な環境があります。Googleは登録時にDBSCセッションを既存の信頼された鍵材料(mTLS証明書またはハードウェアセキュリティキーなど)にバインドするメカニズムを開発しています。
3番目の領域はより広いデバイスサポートです。Googleは専用のセキュアハードウェアを持たないデバイスへの保護拡張を探索するため、ソフトウェアベースのキーを検討しています。
翻訳元: https://www.helpnetsecurity.com/2026/04/10/google-chrome-device-bound-session-credentials/
