- GoogleがChromeにデバイスバウンドセッション認証情報を追加
- DBSCはセッションクッキーをハードウェアキーに結合し、盗難をブロック
- 機能はWindowsで利用可能、macOSロールアウトは間もなく開始
Googleは、情報盗取型マルウェア攻撃で使用されるセッションクッキーの盗難を過去のものにするはずの新しいChrome ブラウザ機能を展開しました。
Windows用Chrome 146はデバイスバウンドセッション認証情報(DBSC)と呼ばれる新しいセキュリティ機能を導入しました。これは、認証セッションを認証に使用される物理デバイスに暗号的に結合することで機能します。
これは、ハードウェアベースのセキュリティモジュール(Windowsの信頼できるプラットフォームモジュールなど)を通じて、マシンからエクスポートできないユニークな公開鍵と秘密鍵のペアを生成することで実現されます。
記事は下に続きます
クッキーが重要なのはなぜですか?
「新しい短期間のセッションクッキーの発行は、Chromeがサーバーに対応する秘密鍵の所有を証明することが条件です」とGoogleはその発表で説明しました。「攻撃者はこのキーを盗むことができないため、流出したクッキーはすぐに期限切れになり、攻撃者にとって無用になります。」
Googleは、新しい機能により、Webサイトはバックエンドに専用の登録およびリフレッシュエンドポイントを追加することで、既存のフロントエンドとの互換性を維持しながら、セキュアなセッションにアップグレードできると述べています。
Chromeは暗号化とクッキーローテーションを処理し、Webアプリは以前と同じく標準クッキーを使用してアクセスし続けます。現在のところ、検索エンジンの大手企業はWindowsのアップグレードのみをリリースしており、macOS版は今後数週間でロールアウト予定です。
Googleは、このプロトコルの初期版が2025年にロールアウトされたと述べ、DBSCで保護されたセッションでは、セッション盗難が「大幅に削減された」ことを観察したと述べています。
多要素認証(MFA)が業界標準になって以来、ブラウザセッションクッキーは非常に価値が高くなっています。これらのクッキーは認証後に生成されるため、サイバー犯罪者はこの重要な認証ステップを効果的にバイパスし、ターゲットアカウントへのアクセスを獲得できます。
ハッカーは通常、情報盗取型マルウェアを使用してこれらのクッキーを盗みます。彼らは、セッションクッキーだけでなく、保存されたパスワード、暗号通貨ウォレットのデータ、クリップボードの内容など、より多くのものを取得できるLumma、Vidar、StealC、AMOSやその他のバリアントをダウンロードするようターゲットをだまします。
そしてもちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、ビデオ形式のアンボックスを見ることができ、WhatsAppでも定期的なアップデートを受け取ることができます。
