「Google Chrome」にCookieの盗難を防ぐ技術「DBSC」が導入へ

公式ブログ「Chromium Blog」

　米Googleは4月2日（現地時間）、Cookieの盗難を防ぐ技術「DBSC」を「Google Chrome」へ導入する計画を明らかにした。現在、ベータ版「Chrome」を実行する一部の「Google アカウント」を保護するため、「DBSC」のプロトタイプを実験しているという。同社は2024年末までに「DBSC」のOrigin Trialsテストを実施したい考えだ。

　HTTP Cookieは、WebサーバーがユーザーのWebブラウザーへ送信する小さなデータで、ローカルに保存され、あとで当該Webサーバーへアクセスしたときにリクエストともに送信される。この仕組みはWebサイトのカスタマイズ設定を保存したり、ユーザーの興味・関心に応じた広告を表示したり（ターゲティング広告）、ログインやショッピングカードの管理（セッション管理）に用いられる。現代のWebにおいて、欠かすことのできない基礎技術といえるだろう。

　そのため、Cookieは攻撃者にとっても魅力的な標的となっている。たとえば、セッション管理のCookie盗難に成功すれば、攻撃者はユーザーのアカウントを完全に乗っ取ることができてしまう（セッションハイジャック）。もちろん簡単に盗めないようにはなっているが、もっと強力な防御策があれば望ましい。

　そこで、Googleが模索しているのが「Device Bound Session Credentials」（DBSC）と呼ばれる仕組みだ。これは認証セッションをデバイスにバインドする（紐付ける）ことで、マルウェアがCookieを盗めても、容易に悪用できなくしようという試みだ。

　「DBSC」には公開鍵暗号の技術が用いられており、Webブラウザーが新しいセッションを開始すると、公開鍵と秘密鍵のペアがデバイス上で作成される。Webサーバーは従来通りCookieベースのセッション管理が行えるが、それはこの公開鍵に紐付けられる。セッションCookieは有効期間が長いほどユーザーにとっては便利なため、寿命が長く設定されがちだが、「DBSC」では公開鍵を用いて短い有効期間のCookieがより新鮮に保たれる。一方の秘密鍵はOSで安全に管理される仕組みで、「Chrome」ではWindows 11の要件の1つでもある「TPM」が活用されているとのこと。

　つまり、「DBSC」を導入すればセッションCookieが盗まれても寿命が短いため、被害を最小限に抑えることが可能。また、公開鍵でCookieを新鮮に保つ処理はWebブラウザー外で行われるため、オンラインだけで攻撃を成立させるのは難しくなり、Cookieを盗もうとするマルウェアはローカルでの動作を余儀なくされる。その結果、マルウェアの検出も容易になる。最近のトレンドを踏まえ、「DBSC」はユーザーの特定に使われないように配慮して設計されているのもポイントと言えるだろう。

　この仕組みは「Chrome」で先行導入されるが、Web標準技術として提案されており、他のプラットフォームへの実装も可能だ。すでに「Okta」のようなIDプロバイダ（IdP）や「Microsoft Edge」をはじめとするWebブラウザーが「DBSC」に関心を示しているという。