GoogleがCookie窃取対策の新ウェブ機能「Device Bound Session Credentials」を開発中、2024年末にオリジントライアル開始へ

GoogleがCookie窃取対策の新ウェブ機能「Device Bound Session Credentials」を開発中、2024年末にオリジントライアル開始へ

公開: 更新:


【時間がない人向け】記事の3行要約

  • Googleが新たなウェブ機能「Device Bound Session Credentials」を開発中
  • Device Bound Session Credentialsはクッキー窃盗からユーザーを保護する仕組み
  • Device Bound Session Credentialsは2024年末までにオリジントライアルを予定

Python基礎・実践(Django)

企業・法人向けのPython研修では、基礎から応用まで体系的に学べます。

Python研修の詳細

DX社員研修

企業・法人向けのDX研修では、実務に繋がるリスキリングでITレベルを向上させます。

DX研修の詳細

Javaエンジニア育成研修

企業・法人向けのJavaエンジニア育成研修では、Javaの基礎から応用まで確実に習得できます。

Java研修の詳細

新卒・新入社員向け研修

企業・法人に新入社員・新卒社員に向けたプログラミング研修を提供しています。

新入社員研修の詳細

コードキャンプのIT研修を全て見る

GoogleがMalware-as-a-ServiceによるCookie窃盗被害対策を開発

GoogleのKristian Monsen氏は2024年4月2日、ブログ記事で「Device Bound Session Credentials」(DBSC)と呼ばれる新たなウェブ機能を開発中だと発表した。DBSCはMalware-as-a-Service(MaaS)によるCookie窃盗被害からユーザーを保護することを目的としている。

MaaSでは攻撃者が不正に入手したCookieを販売することで利益を得ている。この手口ではログイン後に行われるため、二要素認証などのセキュリティ対策を回避できてしまう。また、Cookieの仕様上ブラウザ側での防御も難しいのが現状だ。

DBSCはセッションをデバイス固有の鍵ペアと関連付けることでCookieの窃取を無力化する。これにより攻撃者はデバイス上でローカルに行動せざるを得なくなり、ウイルス対策ソフトによる検知や駆除がしやすくなるメリットがある。

Device Bound Session CredentialsはユーザープライバシーとCookieの段階的廃止にも配慮

DBSCの設計にあたっては、ユーザープライバシーの保護にも注意が払われている。DBSCではセッション毎に異なる鍵ペアが生成され、異なるセッション間でのユーザー追跡は不可能だ。また、ユーザーはいつでもデバイス上の鍵を削除できる。

さらにDBSCは、ChromeにおけるサードパーティCookieの段階的廃止とも整合性が取れている。サードパーティコンテキストではCookieと同等の扱いとなり、プライバシー設定に従って無効化されるため、DBSCが新たなトラッキングベクターとなることを防ぐ狙いがある。

GoogleはすでにChrome Betaを使用する一部のGoogleアカウントユーザーに対し、DBSCのプロトタイプを試験的に提供している。将来的にはすべてのGoogleアカウントユーザーがDBSCによる保護を自動的に受けられるようになる計画のようだ。

おすすめのPython研修一覧

Python研修を提供しているおすすめの企業・法人を一覧で掲載しております。

Python研修の一覧を見る

おすすめのDX研修一覧

DX研修を提供しているおすすめの企業・法人を一覧で掲載しております。

DX研修の一覧を見る

おすすめのJava研修一覧

Java研修を提供しているおすすめの企業・法人を一覧で掲載しております。

Java研修の一覧を見る

おすすめのJavaScript研修一覧

JavaScript研修を提供しているおすすめの企業・法人を一覧で掲載しております。

JavaScript研修の一覧を見る

2024年末までにウェブサイトがDevice Bound Session Credentialsを試せる見通し

現在DBSCはGitHubでオープンに開発が進められており、2024年末までにすべてのウェブサイトがオリジントライアルに参加できるようになる見通しだ。Googleはウェブサイト運営者やブラウザベンダー、IDプロバイダなど関係者からのフィードバックを募っている。

GitHubではDBSCの仕様策定スケジュールも公開されている。実装の詳細については今後も変更の可能性があるが、基本的なアーキテクチャは固まりつつあるようだ。DBSCが新たなウェブ標準として広く普及すれば、Cookieを狙った攻撃のハードルが大きく上がることになるだろう。

ウェブにおけるセキュリティとプライバシーの確保は喫緊の課題だ。DBSCはこの課題にGoogleなりのアプローチで取り組んだ試みと言える。サイト運営者やブラウザベンダーの協力を得ながら、DBSCの実用化を着実に進めていくことが期待される。

trends編集部「K」の一言

Device Bound Session Credentialsの登場は、Cookieの仕様に起因する様々なセキュリティ課題を解決に導く大きな一歩になるかもしれない。DBSCが実現すればCookie窃取というサイバー犯罪の主要なビジネスモデルの一つが成り立たなくなる。攻撃者はこれまでのようにCookieを不正に収集し、それを商品化して利益を得ることが難しくなるだろう。

一方で、DBSCの実装や普及にはいくつかの課題もありそうだ。DBSCは各デバイスに固有の秘密鍵を安全に保存することが前提となるが、その鍵管理をどのように実現するかは悩ましい問題だ。TPMのようなハードウェアセキュリティ機能の活用が有力視されているが、すべてのデバイスでTPMが利用可能とは限らない。ソフトウェア的な鍵の隔離も検討されているようだが、その安全性には限界があるかもしれない。

また、DBSCはCookie窃取のリスクを低減するものの、クロスサイトリクエストフォージェリ(CSRF)のような他の脅威への対策としては不十分だ。DBSCと並行して、CSRFトークンの適切な生成と検証を行うなど、ウェブセキュリティの基本を改めて徹底することも欠かせない。さらに言えば、DBSCに過度に依存するのではなく、Defense in Depthの考え方に基づき多層防御の視点を持つことが肝要と思われる。

いずれにせよ、ウェブのセキュリティ標準化をリードするGoogleがDBSCの実用化に動いたことの意義は小さくない。DBSCはChromeというメジャーブラウザでの実装が予定されており、ウェブ全体に広くインパクトを与える可能性がある。Googleは業界の意見を集約しながら仕様策定を進めているようなので、DBSCが新たな業界標準の礎となることを期待したい。ウェブの健全な発展のために、DBSCの動向から目が離せない。

References

  1. ^ Chromium Blog. 「 Chromium Blog: Fighting cookie theft using device bound sessions 」. https://blog.chromium.org/2024/04/fighting-cookie-theft-using-device.html, (参照 24-04-04).

※上記コンテンツの内容やソースコードはAIで確認・デバッグしておりますが、間違いやエラー、脆弱性などがある場合は、コメントよりご報告いただけますと幸いです。

ITやプログラミングに関するコラム


ITやプログラミングに関するニュース

ブログに戻る

コメントを残す

コメントは公開前に承認される必要があることにご注意ください。

コードキャンプDX人材育成研修 - IT・プログラミングを知って学べるコネクトメディア xコードキャンプIT・プログラミング研修事例/【IT新入社員研修】オンラインとオフラインの最適バランスを実現したFutureOneの導入事例 - IT・プログラミングを知って学べるコネクトメディア コードキャンプIT・プログラミング研修事例/【新入社員研修】柔軟なハイブリッド型Java研修で実現した新卒20名の成長と成果|サークレイス株式会社 - ITやプログラミングを知って学べるコネクトメディア コードキャンプIT・プログラミング研修事例/現場により近いところにデジタルを根付かせるDX基礎講座研修|株式会社ブリヂストン - ITやプログラミングを知って学べるコネクトメディア コードキャンプIT・プログラミング研修事例/業務の効率化・DX推進に向けたIT人材育成への第一歩|株式会社カナエ - ITやプログラミングを知って学べるコネクトメディア 企業・法人向けのIT・プログラミング研修 - ITやプログラミングを知って学べるコネクトメディア

新着記事

対象者別で探す

子供(小学生・中学生・高校生)向け
プログラミング教室検索する

子供(小学生・中学生・高校生)がロボットやプログラミング言語を学ぶことができるオフラインからオンラインスクールを検索、比較することが可能です。

子供(小学生・中学生・高校生)
プログラミング教室検索する

ITやプログラムなどの
最新情報を検索する

日々、新しいITやプログラミング言語の情報が流れていきますが、特定の情報を時系列でニュースやコラムを確認することができます。

ITやプログラムなどの
最新情報を検索する