パスワードと2段階認証を整えていても突破される「Cookie窃取」を無力化する——Googleがそんなセキュリティ機能「Device Bound Session Credentials(DBSC)」をChrome for Windows向けに一般提供すると発表しました。あなたのGoogleアカウントが、特別な操作なしで乗っ取られにくくなる更新です。セッションCookieを認証元の端末に紐付けることで、たとえCookieが盗まれても別の端末から悪用しにくくする仕組みで、Android Authorityによれば一般展開が始まったと報じられています。
盗まれたCookieを「他人の端末では使えない鍵」に変える
DBSC(Device Bound Session Credentials)は、ログイン後に発行されるセッションCookieを、ユーザーが実際に認証を行った端末そのものに結び付けるセキュリティ機能です。セッションCookieはWebサイトがユーザーのログイン状態を記憶しておくための小さなファイルですが、攻撃者がこれを盗み出して別の端末に持ち込めば、パスワードや2段階認証を経由せずにアカウントへ侵入できてしまう、というのが従来からの大きな脅威でした。
DBSCを有効にすると、そのCookieは「発行された端末」でのみ有効なものとして扱われます。仮にマルウェアによってCookieが抜き取られたとしても、攻撃者の手元の別マシンでは認証済みセッションとして通用しなくなる仕組みです。Googleは、すでに端末にマルウェアが存在しているケースでも、Cookie悪用を困難にすると説明しています。
対象はWindows版Chrome——他OSは今回の発表に含まれず
今回の一般提供は、Chrome for Windowsを対象としたものだと報じられています。macOSやLinux、ChromeOSといったほかのプラットフォーム上のChromeは、今回の発表の対象には含まれていません。同じChromeを使っていても、Windows以外の環境では当面この保護機能の恩恵を直接は受けられない点には注意が必要です。
また、対象は「Chromeブラウザでのセッション」であり、特定のサービスのみが保護されるという話ではなく、対応するWeb認証のセッションCookie全般を守る方向性の機能だと位置づけられています。社内にmacOSやLinuxのクライアントが混在する組織では「Chromeを使っていればどこでも安心」とは言えない点を踏まえておく必要があります。
Windowsユーザーは「何もしなくていい」のが最大のメリット
Android Authorityは、Googleが一般的なロールアウト(generally rolling out)の段階に入ったと報じています。具体的な開始日や完了見込みなど、より詳しい展開スケジュールについては、公開情報の範囲では明確にされていません。Workspace管理者にとっても個人ユーザーにとっても、今すぐ全環境に届くわけではなく、順次反映されていくものと考えられます。
実務上のポイントは、ユーザー側で設定変更や有効化操作が不要とされている点です。Workspaceを利用する企業のIT管理者にとっても、Cookie窃取を起点としたセッションハイジャック対策を、エンドユーザーへの周知やGPO(グループポリシー)設定の追加なしに自動で導入できる方向性は、運用負荷の観点でメリットになります。Windows上のChromeをメインに使っているユーザーは、特別な操作なしに保護レベルが一段引き上がる更新になるため、自分の環境で適用されるかをアップデート状況と合わせて確認しておくとよいでしょう。
Chrome 146のTPM保護とmacOS拡張ロードマップ
DBSCはChrome 146でWindows向けに一般提供されました。Windows版ChromeはTrusted Platform Module(TPM)を用いてハードウェア上で鍵を保護する構造を採用しており、ソフトウェア層だけでは到達しにくい領域に鍵を格納することで、Cookie窃取を狙うマルウェアからの抽出を困難にしています。
今後の展開ロードマップ
- macOSではSecure Enclaveを利用する形で近日対応予定です
- 新規鍵を生成する代わりに、mTLS証明書やハードウェアセキュリティキーといった既存の信頼鍵に紐付ける高度な登録機能が開発中です
- 専用のセキュアハードウェアを持たない端末向けに、ソフトウェアベースの鍵による保護拡張も検討されています
加えて、各セッションが個別の鍵で支えられる設計のため、サイトをまたいだユーザー追跡を防ぐプライバシー特性も併せ持っています。GoogleはDBSCの仕様についてW3Cでの標準化を目指す方針を示しており、Chromeに閉じた機能ではなく、ブラウザ横断のセッション保護スキームへ拡張していく構想です。
インフォスティーラー市場の急拡大という背景
DBSCが投入された背景には、セッションCookieを狙うマルウェア市場の急成長があります。2025年にインフォスティーラーは5,170万パッケージを処理しており、これは前年比72%増にあたります。LummaC2などのファミリーは高度化を続け、Googleが2024年7月に導入したApp-Bound Encryptionも、すでに攻撃側にバイパスされていたと報告されています。
| 攻撃側の動き | 内容 |
|---|---|
| 2025年処理数 | 5,170万パッケージ(前年比+72%) |
| App-Bound Encryption | 2024年7月導入後、すでにバイパス済み |
| Storm | 2026年初頭に登場、サーバー側復号でEDR回避 |
2026年初頭に地下市場へ登場した「Storm」は、ブラウザのデータをサーバー側で復号する手法を採用し、エンドポイント検知(EDR)を回避します。販売形態は7日間のデモ版が300ドル、プロ向けが1,800ドルというサブスクリプション型で、購入者はMFAを無効化する経路を手軽に入手できます。Cookie窃取がサービスとして商品化されつつある状況こそ、ハードウェアバインドという根本的な対策が求められた理由です。
Q&A
Q. macOSやChromeOSのChromeでも使えますか? 今回の発表ではWindowsが対象として報じられており、それ以外のプラットフォームについては言及されていません。現時点ではWindows版Chromeでの一般提供と理解しておくのが正確です。
Q. すでにマルウェアに感染している端末でも効果がありますか? 端末上のマルウェアによってCookieが抜き取られたケースでも、別端末からの悪用を困難にする設計だと説明されています。ただし、感染そのものを防ぐ機能ではないため、従来どおりのマルウェア対策と組み合わせる前提の機能です。
Q. ロールアウトはいつ完了しますか? 詳細なスケジュールは現時点では明らかにされていません。一般的なロールアウトとして段階展開される旨が報じられているため、自分の環境にいつ届くかは、Chromeのアップデート状況を継続的に確認するのが確実です。
出典
- Android Authority — The Chrome browser is getting a big safety upgrade — if you use Windows
- Google Security Blog — Protecting Cookies with Device Bound Session Credentials
- Chrome for Developers — Device Bound Session Credentials now available on Windows
