デバイス連動セッション認証情報でクッキー盗難を防止

概要

Googleは、セッション盗難攻撃から保護する「デバイス連動セッション認証情報（DBSC）」技術をWindows版Chrome 146で公開開始し、macOSへの対応も予定しています。これまで、マルウェアがブラウザのセッション用クッキーを盗み出すと、攻撃者はパスワードなしにユーザーのアカウントにアクセス可能でした。DBSC技術は、TPM（トラステッドプラットフォームモジュール）などのハードウェアセキュリティ機能を活用し、デバイスからエクスポート不可能な暗号鍵をブラウザに生成します。サーバーはこの秘密鍵の所有証明があった場合のみ有効なクッキーを発行するため、盗まれたクッキーは短期間で失効し無効化されます。ウェブサイト運営者はバックエンドに登録・更新機能を追加するだけで導入でき、フロントエンドとの互換性も維持できます。

元記事（Google Security Blog）