## Chrome、DBSCでセッションセキュリティを強化 **Google**は、バージョン146の**Chrome**にデバイスバウンドセッション認証情報（DBSC）を導入し、特にWindowsユーザー向けに**Chrome**のセキュリティを強化しています。この強化は、窃取されたセッションCookieの悪用を防ぐことで、情報窃取型マルウェアの脅威を無力化することを目的としています。macOSのサポートは将来のリリースで予定されています。  DBSCシステムは、ユーザーのセッションとデバイスのハードウェアとの間に暗号学的なリンクを確立することで機能します。WindowsではTrusted Platform Module（TPM）、macOSでは将来的にSecure Enclaveを利用します。これにより、機密性の高いセッションデータを復号化するために必要な秘密鍵は、ハードウェア内に安全にロックされたままになります。 機密データを暗号化および復号化するために使用されるユニークな公開鍵/秘密鍵ペアはセキュリティチップによって生成されるため、マシンからエクスポートすることはできません。これにより、保護されているユニークな秘密鍵をマシンからエクスポートできないため、攻撃者が窃取したセッションデータを使用することを防ぎます。 「新しい短命のセッションCookieの発行は、**Chrome**がサーバーに対して対応する秘密鍵の所有権を証明することに依存します」と**Google**は発表で述べています。この鍵がなければ、流出したセッションCookieは即座に無効になります。 ### DBSCの仕組み セッションCookieは、サーバーサイドでユーザー名とパスワードに基づいて作成される、長命の認証トークンとして機能します。攻撃者は、**LummaC2**のような特殊なマルウェアを使用してこれらのCookieを標的にし、従来の認証方法を回避することがよくあります。  *DBSCプロトコルにおけるブラウザとサーバーのインタラクション（出典：Google）* 「決定的なのは、高度なマルウェアがマシンへのアクセスを確立すると、ブラウザが認証Cookieを保存するローカルファイルやメモリを読み取ることができることです。その結果、どのオペレーティングシステムでもソフトウェアだけでCookieの流出を防ぐ信頼性の高い方法はありません」と**Google**は説明しています。 DBSCプロトコルはプライバシーを考慮して設計されています。各セッションは個別の鍵によってバックアップされるため、ウェブサイトがセッション間またはサイト間でユーザーのアクティビティを相関させることを防ぎます。このプロトコルは情報交換を最小限に抑え、所有権の証明に必要なセッションごとの公開鍵のみを要求し、デバイス識別子の漏洩を回避します。 ### 業界との連携 **Okta**のようなプラットフォームでのテストにおいて、**Google**はセッション窃取インシデントの大幅な減少を観察しました。**Google**は**Microsoft**と協力してDBSCをオープンウェブ標準として開発し、ウェブセキュリティコミュニティからのフィードバックを取り入れました。 ウェブサイトは、バックエンドに専用の登録および更新エンドポイントを追加することでDBSCを実装でき、既存のフロントエンドとの互換性を確保できます。開発者は、**Google**のガイドおよびWorld Wide Web Consortium（W3C）ウェブサイトの仕様で実装の詳細を確認でき、GitHubで解説も利用可能です。