セッションハイジャッキングは長い間、最も悪質な攻撃手法の一つとして存在してきました。攻撃者がブラウザからセッションクッキーを取得すると、パスワードの必要性は事実上失われます。認証ロジック自体のこの構造的脆弱性を強化するために、Googleは Device Bound Session Credentials (DBSC) 機能を安定版にリリースしました。当初はWindowsのChrome ユーザーに利用可能でしたが、このメカニズムはさまざまなプラットフォーム全体への実装が予定されています。
このような攻撃のアーキテクチャは非常に実践的です。ユーザーが無意識のうちに情報盗取マルウェア(Atomic、Lumma、Vidarなど)を実行します。これらの有害なプログラムは、特にブラウザクッキーを対象に、ほぼすべての価値あるデータを流出させます。これらのファイルはアクティブセッションの暗号学的証明を含んでおり、その結果、サービスは所持者を認証済みと認識し、さらなるパスワード要件を放棄します。これにより、攻撃者は電子メール、ソーシャルネットワーク、または企業インフラに即座にアクセスできるようになります。
これはダークウェブ経済を引き起こし、盗まれたクッキーが膨大なデータベースに集約され、他の犯罪グループに売却されます。購入者は従来の防御を完全に回避し、盗まれたセッションを採用して正当なユーザーに偽装します。多くのセッションの長い有効期間を考えると、脆弱性の窓口は危険な程度に広いままです。
Device Bound Session Credentials はセッション管理のパラダイムを根本的に変えます。クッキーを単に保存するのではなく、ブラウザは認証を特定のハードウェアに結びつけます。これは非対称暗号化によって実現されます。ログイン時に、公開鍵と秘密鍵で構成されるキーペアが生成されます。秘密鍵はデバイス内に隔離され、抽出不可能になるように設計されています。
Windowsではこのセキュリティは Trusted Platform Module (TPM) によって支えられ、macOSは Secure Enclave を利用します。これらのハードウェアベースのセキュリティモジュールは、隔離された環境でキーを保存するように設計されています。ホストシステムがマルウェアに侵害されても、秘密鍵は攻撃者の手の届かないところに留まります。
その後のロジックはより厳格になります。サーバーは一時的なセッションクッキーを発行しますが、ブラウザが関連する秘密鍵の暗号学的証明を提供する場合のみそれらを受け入れます。したがって、クッキーだけでは不十分です。キーを持つ物理デバイスへのアクセスが必須となります。その結果、盗まれたクッキーは無力化されます。攻撃者は感染したマシンからそれらを流出させることができますが、必要な暗号化検証なしに機能することはできません。迅速な悪用の場合でも、これらのセッションの短い有効期間は攻撃の時間的窓を大幅に狭めます。
重要なことに、このメカニズムは後方互換性を保持しています。デバイスがセキュアなキーストレージのサポートに欠けている場合、Chrome は従来のプロトコルに戻ります。ユーザーエクスペリエンスはシームレスなままですが、そのような場合の防御体制は歴史的なベースラインにとどまります。
Googleは2024年以来このフレームワークを厳密にテストしており、セッション盗難の成功の測定可能な低下を報告しています。この機能は現在Chrome バージョン146経由でより広範なWindows ユーザーがアクセス可能で、macOS サポートはその後のイテレーションで予定されています。開発者はさらにユーザープライバシーの神聖性を強調しています。デバイスバインディングはWebサイトに新しいテレメトリベクトルを提供しません。各セッションは他のサイトまたは以前の認証から切り離された一意のキーを利用します。サーバーは公開コンポーネントのみを受け取り、検証には十分ですが、永続的なユーザー識別子の構築には不十分です。
このアーキテクチャはMicrosoftと協力して開発され、オープンなWeb標準として構想されています。このアプローチが勢いを得れば、ライバルブラウザに類似のフレームワークが出現し、セッション保護をニッチな機能から インターネットインフラストラクチャの基本的な柱に変える可能性があります。DBSCの展開はアカウントセキュリティのターニングポイントを示しています。パスワードと多要素認証は相変わらず不可欠ですが、主な防御の取り組みは現在、最も脆弱なリンク、つまりハイジャックされたセッションの再利用に集中しています。攻撃者が略奪する価値があるものを何も見つけなければ、搾取の従来のモデルは分解し始めます。
