Cookieは、GDPRのせいでサイトが訪問するたびに毎回ユーザーを煩わせるだけのものではありません。良くも悪くも、サイトが特定のユーザーを識別するための最も基本的な方法の一つです。こうしたCookieの盗難や偽装は、なりすましによる個人情報窃盗攻撃の常套手段です。そのため、Chromeの最新アップデートではCookieの安全性確保に努めています。
この Chromium ブログ投稿 (Bleeping Computer が発見) で説明されているように、ソーシャル エンジニアリングによってユーザーの認証 Cookie を盗むと、第三者がリモートの場所からログインしたセッションをシミュレートできるようになります。
例えば、次のようなシナリオが考えられます。「CEO」からのリンク(偽装されたヘッダーを持つフィッシングメール)をクリックすると、ブラウザを監視するバックグラウンドプロセスがインストールされます。銀行にログインし、セキュリティ強化のために二要素認証も使用しています。このプロセスは、ログイン後にブラウザからアクティブなCookieをスワイプします。そして、誰かがそのCookieを使ってあなたになりすまし、アクティブなログインセッションをシミュレートできるようになります。
Googleはこの問題に対する解決策として、デバイスバウンドセッション認証情報(DBSC)を採用しています。同社はDBSCをオープンソースツールとして開発しており、広く普及するウェブ標準となることを期待しています。基本的な考え方は、ユーザーを識別するトラッキングCookieに加えて、ブラウザが追加データを使用してセッションを特定のデバイス(コンピューターやスマートフォンなど)に結び付けることで、他のマシンで簡単に偽装できないようにするというものです。
これは、Windows 11への大規模な移行で記憶されているTrusted Platform Module(TPM)チップによって生成される公開鍵と秘密鍵によって実現されます。ここ数年で販売されたほとんどの最新デバイスには、AndroidスマートフォンやChromebookに搭載されているGoogleのTitanチップのように、これを実現するハードウェアが搭載されています。セキュアサーバーがブラウザアクティビティをTPMに紐付けることで、たとえ別のユーザーが関連するCookieをスワイプできたとしても、セッションとデバイスのペアが作成され、複製することはできません。
私と同じように、プライバシーに不安を抱く人もいるかもしれません。特に、シークレットモードでブラウザから追跡していたデータを削除せざるを得なくなった企業からの情報ですから。Chromiumのブログ記事ではさらに、DBSCシステムではセッションとデバイスのペアリングがそれぞれ固有であるため、セッション間の相関関係を検証できないと述べられています。「サーバーに送信される情報はセッションごとの公開鍵のみで、サーバーは後で鍵の所有証明を認証するためにこれを使用します」とChromeチームメンバーのクリスチャン・モンセン氏は述べています。
Googleによると、MicrosoftのEdgeチームやID管理企業のOktaなど、他のブラウザ企業やウェブ企業もこの新しいセキュリティツールに関心を示しているとのことです。DBSCは現在、Chromeバージョン125(現在はプレベータ版のChrome Devビルド)以降で試験運用されています。
著者: Michael Crider、PCWorld スタッフライター
マイケルはテクノロジージャーナリズムのベテランとして10年のキャリアを持ち、AppleからZTEまであらゆるテクノロジーをカバーしています。PCWorldではキーボードマニアとして活躍し、常に新しいキーボードをレビューに使用し、仕事以外では新しいメカニカルキーボードを組み立てたり、デスクトップの「バトルステーション」を拡張したりしています。これまでにAndroid Police、Digital Trends、Wired、Lifehacker、How-To Geekなどで記事を執筆し、CESやMobile World Congressなどのイベントをライブで取材してきました。ペンシルベニア州在住のマイケルは、次のカヤック旅行を心待ちにしています。
