**Google**は、アカウント乗っ取りを防ぐためのChromeデバイスバウンドセッション認証情報（DBSC）セキュリティ機能が一般提供開始され、すべてのユーザーに展開されていると述べています。 4月からベータ版で提供されていたDBSCは、2024年に初めて発表され、セッションCookieを特定のデバイスに暗号学的にバインドすることで、ハッカーが盗んだCookieを使用して多要素認証（MFA）を回避し、ユーザーのアカウントを乗っ取ることを防ぐ方法として導入されました。 ### DBSCの仕組み DBSCは、ユーザーセッションをハードウェア（例：**Windows**のTrusted Platform Module（TPM）や**macOS**のSecure Enclaveなど、コンピューターのセキュリティチップ）に暗号学的にリンクさせることで機能します。 機密データを暗号化および復号化するために使用される一意の公開鍵/秘密鍵ペアはセキュリティチップによって生成されるため、盗むことができず、攻撃者が盗んだセッションCookieを使用することを防ぎます。 「DBSCは、リアクティブな検出からプロアクティブな防止へとパラダイムをシフトさせることで、ウェブのこの脅威に対する防御能力を根本的に変え、正常に抜き取られたCookieがユーザーのアカウントにアクセスするために使用されないことを保証します」と**Google**は4月に述べています。 「DBSCは、ユーザーがログインした後のアカウントセキュリティを強化し、セッションCookie（ウェブサイトがユーザー情報を記憶するために使用する小さなファイル）をユーザーが認証したデバイスにバインドするのに役立ちます。ユーザーのデバイスにマルウェアが存在していたとしても、DBSCはセッション窃盗のリスクを軽減し、悪意のあるアクターが盗んだセッションCookieを悪用することを大幅に困難にします」と同社は今週付け加えています。  この機能は現在、すべての**Google Workspace**顧客、Workspace Individual加入者、および個人用**Google**アカウントを持つユーザーに展開されています。 **Google**は、展開時にすべての**Google Workspace**顧客に対してデフォルトで有効になり、管理者は無効にできないことを付け加えています。 ### 過去の悪用と緩和策 過去には、脅威アクターが非公開の**Google** OAuth "MultiLogin" APIエンドポイントを悪用して、盗まれた認証Cookieが期限切れになった後に新しいCookieを生成していました。 **Lumma**および**Rhadamanthys**の情報窃盗マルウェアキャンペーンも、攻撃で盗まれた期限切れの**Google**認証Cookieを復元して、感染したユーザーの**Google**アカウントへのアクセスを取得できると主張していました。 当時、**Google**は顧客にデバイスからマルウェアを削除するようアドバイスし、フィッシングやマルウェア攻撃から防御するために**Chrome**のEnhanced Safe Browsingセキュリティモードを有効にすることを推奨していました。 しかし、新しいChromeデバイスバウンドセッション認証情報（DBSC）セキュリティ機能は、悪意のあるアクターがこれらのCookieを使用するために必要な暗号鍵にアクセスできないため、そのような盗まれたCookieの悪用を効果的にブロックするはずです。