GoogleのKristian Monsen氏は2024年4月2日、ブログ記事で「Device Bound Session Credentials」（DBSC）と呼ばれる新たなウェブ機能を開発中だと発表した。DBSCはMalware-as-a-Service（MaaS）によるCookie窃盗被害からユーザーを保護することを目的としている。

MaaSでは攻撃者が不正に入手したCookieを販売することで利益を得ている。この手口ではログイン後に行われるため、二要素認証などのセキュリティ対策を回避できてしまう。また、Cookieの仕様上ブラウザ側での防御も難しいのが現状だ。

DBSCはセッションをデバイス固有の鍵ペアと関連付けることでCookieの窃取を無力化する。これにより攻撃者はデバイス上でローカルに行動せざるを得なくなり、ウイルス対策ソフトによる検知や駆除がしやすくなるメリットがある。

Device Bound Session CredentialsはユーザープライバシーとCookieの段階的廃止にも配慮

DBSCの設計にあたっては、ユーザープライバシーの保護にも注意が払われている。DBSCではセッション毎に異なる鍵ペアが生成され、異なるセッション間でのユーザー追跡は不可能だ。また、ユーザーはいつでもデバイス上の鍵を削除できる。

さらにDBSCは、ChromeにおけるサードパーティCookieの段階的廃止とも整合性が取れている。サードパーティコンテキストではCookieと同等の扱いとなり、プライバシー設定に従って無効化されるため、DBSCが新たなトラッキングベクターとなることを防ぐ狙いがある。

GoogleはすでにChrome Betaを使用する一部のGoogleアカウントユーザーに対し、DBSCのプロトタイプを試験的に提供している。将来的にはすべてのGoogleアカウントユーザーがDBSCによる保護を自動的に受けられるようになる計画のようだ。

おすすめのPython研修一覧

Python研修を提供しているおすすめの企業・法人を一覧で掲載しております。

Python研修の一覧を見る

おすすめのDX研修一覧

DX研修を提供しているおすすめの企業・法人を一覧で掲載しております。

DX研修の一覧を見る

おすすめのJava研修一覧

Java研修を提供しているおすすめの企業・法人を一覧で掲載しております。

Java研修の一覧を見る

おすすめのJavaScript研修一覧

JavaScript研修を提供しているおすすめの企業・法人を一覧で掲載しております。

JavaScript研修の一覧を見る

2024年末までにウェブサイトがDevice Bound Session Credentialsを試せる見通し

現在DBSCはGitHubでオープンに開発が進められており、2024年末までにすべてのウェブサイトがオリジントライアルに参加できるようになる見通しだ。Googleはウェブサイト運営者やブラウザベンダー、IDプロバイダなど関係者からのフィードバックを募っている。

GitHubではDBSCの仕様策定スケジュールも公開されている。実装の詳細については今後も変更の可能性があるが、基本的なアーキテクチャは固まりつつあるようだ。DBSCが新たなウェブ標準として広く普及すれば、Cookieを狙った攻撃のハードルが大きく上がることになるだろう。

ウェブにおけるセキュリティとプライバシーの確保は喫緊の課題だ。DBSCはこの課題にGoogleなりのアプローチで取り組んだ試みと言える。サイト運営者やブラウザベンダーの協力を得ながら、DBSCの実用化を着実に進めていくことが期待される。

trends編集部「K」の一言

Device Bound Session Credentialsの登場は、Cookieの仕様に起因する様々なセキュリティ課題を解決に導く大きな一歩になるかもしれない。DBSCが実現すればCookie窃取というサイバー犯罪の主要なビジネスモデルの一つが成り立たなくなる。攻撃者はこれまでのようにCookieを不正に収集し、それを商品化して利益を得ることが難しくなるだろう。

一方で、DBSCの実装や普及にはいくつかの課題もありそうだ。DBSCは各デバイスに固有の秘密鍵を安全に保存することが前提となるが、その鍵管理をどのように実現するかは悩ましい問題だ。TPMのようなハードウェアセキュリティ機能の活用が有力視されているが、すべてのデバイスでTPMが利用可能とは限らない。ソフトウェア的な鍵の隔離も検討されているようだが、その安全性には限界があるかもしれない。

また、DBSCはCookie窃取のリスクを低減するものの、クロスサイトリクエストフォージェリ（CSRF）のような他の脅威への対策としては不十分だ。DBSCと並行して、CSRFトークンの適切な生成と検証を行うなど、ウェブセキュリティの基本を改めて徹底することも欠かせない。さらに言えば、DBSCに過度に依存するのではなく、Defense in Depthの考え方に基づき多層防御の視点を持つことが肝要と思われる。

いずれにせよ、ウェブのセキュリティ標準化をリードするGoogleがDBSCの実用化に動いたことの意義は小さくない。DBSCはChromeというメジャーブラウザでの実装が予定されており、ウェブ全体に広くインパクトを与える可能性がある。Googleは業界の意見を集約しながら仕様策定を進めているようなので、DBSCが新たな業界標準の礎となることを期待したい。ウェブの健全な発展のために、DBSCの動向から目が離せない。