Googleは、ユーザーをセッション乗っ取りから保護するための大規模なセキュリティアップグレードを公式に開始しました。Windows ユーザー向けの Chrome バージョン 146 から開始して、デバイスバウンドセッション認証情報(DBSC)が公開利用可能になりました。
この新機能は、マルウェアがウェブクッキーを盗んでパスワードと多要素認証をバイパスするのを防ぐことを目的としています。macOS ユーザーのサポートは、今後の Chrome リリースで提供される予定です。
セッション盗難は、ユーザーが誤ってマルウェアをダウンロードしたときに発生します。LummaC2 情報盗取器などデバイスに侵入すると、このマルウェアはブラウザのローカルファイルとメモリから既存のセッションクッキーを静かにコピーします。
攻撃者はこれらの盗まれたクッキーを自分のサーバーに送信し、パスワードなしでユーザーアカウントにアクセスできるようにします。ハッカーはこれらのアクティブなセッショントークンを頻繁にダークウェブフォーラムで他のサイバー犯罪者に販売しています。
従来の防御は盗難が発生した後に検出に依存しているため、執拗なハッカーはセキュリティ対策を何度も回避することがよくあります。
デバイスバインディングの仕組み
DBSCは防御戦略をリアクティブ検出からプロアクティブ予防へと転換します。使用している特定の物理デバイスにウェブセッションを暗号的にロックすることで機能します。
これを行うために、Chrome は Windows 上の Trusted Platform Module(TPM)や macOS 上の Secure Enclave などのハードウェアベースのセキュリティモジュールを使用します。
これらのチップは、マシンからエクスポートまたはコピーすることができない一意の公開鍵と秘密鍵のペアを生成します。
ウェブサイトが新しい短命のセッションクッキーを発行すると、Chrome は対応する秘密鍵を保持していることを証明する必要があります。
リモートハッカーは物理的なハードウェアキーを盗むことができないため、彼らが流出させるどんなクッキーもすぐに期限切れになり、完全に無用になります。
ウェブ開発者は、バックエンドに特定の登録エンドポイントを追加することでこれを採用できます。一方、ブラウザは複雑な暗号化を自動的に処理します。
これは、日常のユーザーは閲覧体験に変化を気づかないということですが、彼らのアカウントはより安全になります。
ユーザープライバシーの優先化
Google は、トラッキングに悪用されないようにするために、厳密なプライバシールールでこのプロトコルを設計しました。すべてのウェブセッションは独自の異なるキーを取得します。
これは、ウェブサイトがセキュリティ認証情報を使用して、同じデバイス上の異なるサイト間でユーザーのアクティビティを接続するのを防止します。
システムはサーバーと共有されるデータも制限し、デバイス識別子がリークされたり、デジタルフィンガープリントとして機能したりしないことを保証します。
この機能は W3C を通じてオープンウェブ標準として構築され、Microsoft や Okta などの業界リーダーの協力を特徴としています。
Google は過去 1 年間の初期テスト段階で、セッション盗難の大幅な減少を既に見ています。
Google は複雑なエンタープライズネットワーク向けに DBSC 機能を拡張する計画です。今後のアップデートは、シングルサインオン(SSO)プロセスを保護し、初期デバイスバインディングが異なる ID プロバイダー間で維持されることを保証します。
開発者は、ハードウェアセキュリティキーや mTLS 証明書などの既存の信頼できる資料にセッションをバインドするためにも取り組んでいます。最後に、Google は専用のセキュリティチップがない古いデバイスを保護するためにソフトウェアベースのキーを積極的に検討しています。
翻訳元: https://gbhackers.com/chrome-sessions-to-devices-to-stop-cookie-theft/
