# Google Chrome、セッションハイジャック軽減のためデバイスバウンドセッション認証を実装 **Google**は、オープンベータテストを経て、同社のウェブブラウザ**Chrome**の全Windowsユーザー向けに**デバイスバウンドセッション認証（DBSC）**の正式展開を発表しました。このセキュリティ強化策は、セッションハイジャックの蔓延する脅威に対抗することを目的としており、将来的にはmacOSへの機能拡張も計画されています。  ## セッションハイジャックの脅威に対処 セッションハイジャックとは、ユーザーのウェブブラウザからセッションクッキーを不正に抽出する行為であり、Atomic、Lumma、Vidar Stealerなどの情報窃取型マルウェアによってしばしば助長されます。これらのクッキーは、長期間有効な場合があり、攻撃者はパスワードを必要とせずにオンラインアカウントにアクセスできます。盗まれたトークンは、しばしば他のサイバー犯罪者に販売され、さらなる悪意のある活動を可能にします。 ## DBSCの仕組み 2024年4月に初めて発表された**DBSC**は、認証セッションを特定のデバイスに暗号学的に紐付けることで、このリスクを軽減します。これは、WindowsのTrusted Platform Module（**TPM**）やmacOSのSecure Enclaveのようなハードウェアベースのセキュリティモジュールを使用して、デバイスからエクスポートできない一意の公開/秘密鍵ペアを生成することによって実現されます。  **Google**の説明によると、新しい短命セッションクッキーの発行は、**Chrome**がサーバーに対して対応する秘密鍵を所有していることを証明できるかどうかに依存します。攻撃者はこの鍵を窃取できないため、たとえクッキーが窃取されたとしても、すぐに期限切れとなり無効になります。 セキュアな鍵ストレージをサポートしないデバイスの場合、**DBSC**は認証プロセスを中断することなく、標準的な動作にシームレスにフォールバックします。 ## 初期段階での成功と今後の計画 **Google**は、**DBSC**の初期展開以降、セッションハイジャックの発生率が大幅に減少したと報告しており、この対策の有効性を示しています。同社は、**DBSC**をより広範なデバイスに展開し、エンタープライズ環境とのより良い統合のための高度な機能を提供する予定です。 ## プライバシー重視の設計 **Google**は**Microsoft**と協力し、プライバシーを念頭に置いて**DBSC**標準を設計し、オープンウェブ標準として確立することを目指しています。このアーキテクチャは、ウェブサイトがセッション認証情報を使用して、同じデバイス上の異なるセッションまたはサイト間でユーザーのアクティビティを相関させることを防ぎます。このプロトコルは、所有権証明に必要なセッションごとの公開鍵を超えて、デバイス識別子やアテステーションデータの漏洩を回避するように設計されています。この最小限の情報交換により、**DBSC**はクロスサイトトラッキングを可能にしたり、デバイスのフィンガープリントメカニズムとして機能したりすることなく、セッションを保護します。