従来のセキュリティ慣行は、デジタル ライフを保護するための優れたツールです。各アカウントに一意のパスワードを使用し、それをサポートするアカウントに 2 要素認証 (2FA) を設定すると、ハッカーがデータにアクセスするのは困難になります。ただし、2FA であっても完全に安全というわけではありません。ハッカーは依然として、セキュリティ対策を回避し、自分に過失がなくてもオンライン スペースに侵入するツールを持っています。
幸いなことに、Google は現在、これらの脆弱性を軽減する新しいセキュリティ対策を展開しています。最新バージョンの Chrome を実行している限り、アカウントに侵入しようとする人々は、より険しい戦いに直面することになります。
セッション Cookie がアカウントを危険にさらす仕組み
Bleeping Computer が報じたように、Google は今週、Chrome 用の「Device Bound Session Credentials」(DBSC) を正式に公開しました。ただし、DBSC を理解するには、セッション Cookie がどのように機能するかを理解する必要があります。ブラウザで Web サイトにサインインすると、そのサイトから一意の ID が発行されます。この ID はデバイス上に小さなファイルとして保存されます。これがセッション Cookie です。その目的は、さまざまな Web ページを閲覧するときなど、Web サイトがユーザーの使用状況を追跡できるようにすることです。
セッション Cookie には、ショッピング カートや複数ページのある Web サイトなど、さまざまな用途がありますが、この説明では、セッション Cookie がログイン セッションを維持するために使用されるということを知っておくことが重要です。 Web サイトはセッション Cookie を使用して、ユーザーがログインしていることを「記憶」することができます。これは、チケット制のイベントに入場するときにリストバンドを渡すのと似ています。そうすれば、サイトにアクセスするたびに再認証する必要がなくなります。パスワードと 2FA コードを一度入力すれば、プロセスを繰り返すことなく (少なくともセッション Cookie の有効期限が切れるまでは) Web サイトに戻ることができます。
セッション Cookie は、それを作成したデバイス上にのみ存在することになっていますが (一時的に)、ハッカーの主な標的となっています。誰かがあなたのセッション Cookie を盗むことができた場合、たとえ問題の Web サイトが追加のセキュリティのために 2FA を使用していたとしても、その人は自分のデバイス上であなたのログインになりすますことができます。通常、このような Web サイトでは、ログインを続行する前にユーザー名、パスワード、2FA コードの入力を求められます。しかし、ハッカーがセッション Cookie を盗むと、Web サイトをだまして、すでに認証済みのデバイス上のユーザーであると思わせることができます。言い換えれば、彼らはあなたのリストバンドを盗んで自分の手首に付けているのです。用心棒は自分がそれを盗んだことを知りません。彼らはそれを持っていることだけを認識し、チケットがすでにチェックされていると想定します。
Google Chrome の新しいセキュリティ機能はセッション Cookie の盗難を防止します
DBSC は、セッション Cookie がハッカーにとってアクセスしにくい場所に確実に保存されるように機能します。今後、Chrome (および他の Chromium ベースのブラウザ) で生成されたすべてのセッション Cookie は、PC の Trusted Platform Module または Mac の Secure Enclave に保存されます。これらのチップは機密データを保持し、暗号化で保護するように設計されています。セキュリティ チップのみが、そこにある情報を復号化するためのキーを持っています。つまり、ハッカーがあなたの Mac や PC をマルウェアに感染させることに成功したとしても、セキュリティ チップに侵入してセッション Cookie を盗むのは非常に困難であるということです。
Google は、2024 年に初めて DBSC を発表して以来、4 月から DBSC のベータ テストを行ってきました。現在では、Workspace ユーザーや Enterprise ユーザー、個人アカウントを持つユーザーなど、事実上すべての Chrome ユーザーが利用できます。 Google の当初の発表では、この機能が Windows 版 Chrome で利用可能であることのみが明示されていましたが、DBSC ヘルプ ページには Mac でも利用できることが記載されています。
これまでのところどう思いますか?
Chrome で DBSC を実行していることを確認する方法
Google によると、DBSC はすべての Workspace Chrome ユーザーに対してデフォルトで有効になっており、管理者はこれを無効にすることはできません。同社はそれが個人アカウントにも適用されるかどうかについては明らかにしていないが、適用される可能性は高い。説明を求めて Google に問い合わせました。返答があればこの記事を更新します。
ただし、Google は DBSC をすべての Chrome バージョンに遡及的に追加するつもりはないようです。 DBSC ヘルプ ページによると、この機能は Windows では Chrome バージョン 146 以降、Mac では Chrome バージョン 148 以降で利用可能です。 DBSC を確実に実行するには、安全のために最新バージョンの Chrome を端末にインストールする必要があります。
更新するには、右上の 3 つの点をクリックして、 ヘルプ > Google Chromeについて。 Chrome が最新のアップデートを検索できるようにし、入手可能な場合は、[再起動]を選択してインストールします。
{このテーマについてさらに詳しく知りたい方は以下をご覧ください|関連情報は以下のリンクからご確認いただけます}