Googleは、Chromeユーザーをクッキー盗難から守るために「Device Bound Session Credentials(DBSC)」の導入を発表した。これは、認証クッキーをデバイスに紐付けることで、クッキー盗難の成功率を大幅に低下させることを目指す。認証クッキーは、ユーザーがログイン後にウェブブラウザに追加され、ユーザー名とパスワードの繰り返し入力を不要にする。しかし、マルウェアによる認証クッキーの盗難が問題となっていた。
DBSCは、認証クッキーを作成したデバイスでのみ使用できるようにする暗号技術を使用する。ブラウザはセッション開始時に2つの暗号鍵(公開鍵と秘密鍵)を生成し、秘密鍵はデバイスに安全に保管され、公開鍵はウェブサイトに提供される。ウェブサイトは公開鍵を使用して、認証クッキーを使用するブラウザが秘密鍵を持っていることを確認する。この方法により、盗難されたクッキーを使用するには、秘密鍵も盗む必要があり、クッキーの安全性が向上する。
Googleは、DBSCの開発をGithubで公開しており、DBSCをオープンウェブ標準とすることを目指している。2024年末までに完全に機能する試験版を用意することが目標である。また、OktaやMicrosoft EdgeなどのアイデンティティプロバイダーやブラウザがDBSCに関心を示しており、ユーザーをクッキー盗難から守るためにDBSCを採用したいと考えている。
【ニュース解説】
Googleが、Chromeユーザーをクッキー盗難から守るために「Device Bound Session Credentials(DBSC)」の導入を発表しました。これは、認証クッキーをそのクッキーを生成したデバイスにのみ紐付けることで、クッキー盗難のリスクを大幅に減少させる技術です。認証クッキーは、ユーザーがログインした後にウェブブラウザに追加され、その後の訪問でユーザー名やパスワードの再入力を不要にします。しかし、これまでマルウェアによる認証クッキーの盗難が問題となっていました。
DBSCの導入により、認証クッキーは生成したデバイスでのみ使用可能となります。これは、ブラウザがセッション開始時に生成する2つの暗号鍵(公開鍵と秘密鍵)を用いることで実現されます。秘密鍵はデバイスに安全に保管され、公開鍵はウェブサイトに提供されます。ウェブサイトは公開鍵を用いて、認証クッキーを使用するブラウザが対応する秘密鍵を持っているかを確認します。この仕組みにより、盗難されたクッキーを使用するためには、秘密鍵の盗取も必要となり、クッキーの安全性が大幅に向上します。
この技術の導入は、クッキー盗難によるアカウント乗っ取りや個人情報の漏洩などのリスクを減少させることが期待されます。また、攻撃者がデバイス上で直接行動を起こさなければならなくなるため、マルウェアの検出や除去がより効果的になります。これは、個人ユーザーだけでなく、企業が管理するデバイスのセキュリティ強化にも寄与します。
GoogleはDBSCの開発を公開しており、オープンウェブ標準としての採用を目指しています。これにより、他のブラウザやアイデンティティプロバイダーもこの技術を採用しやすくなり、ウェブ全体のセキュリティが向上する可能性があります。OktaやMicrosoft Edgeなどが既に関心を示していることから、この技術が広く受け入れられることが期待されます。
長期的には、DBSCのような技術が普及することで、ウェブのセキュリティ基準が高まり、ユーザーのオンラインでの安全がより確実に保護されるようになるでしょう。しかし、新しい技術の導入には時間がかかるため、その間もユーザーはセキュリティ対策を怠らず、常に警戒を続ける必要があります。
from Google Chrome gets ‘Device Bound Session Credentials’ to stop cookie theft.
