Google、セッション乗っ取りを根絶する新技術「DBSC」を一般公開 ―― クッキー盗難をデバイス単位で無効化：セキュリティニュースアラート

Googleは端末にひも付く認証技術「DBSC」の一般公開を開始した。Chrome 146でWindowsに対応し、macOSにも拡大を予定している。

[ITmedia エンタープライズ編集部，ITmedia]

　Googleは2026年4月9日（現地時間）、セキュリティ対策の一環として、デバイスにひも付くセッション認証技術「Device Bound Session Credentials」（以下、DBSC）の一般公開を開始した。「Windows」環境には最新の「Google Chrome」（バージョン146）で利用可能となり、今後macOS環境にも対応が拡大される。

Google オンラインセキュリティブログ：デバイスに紐付くセッション認証（DBSC）によるクッキーの保護（出典：GoogleのWebサイト）

急増するセッション乗っ取り攻撃とクッキー窃取の脅威に対応

　DBSCは、近年増加するセッション乗っ取り攻撃への対抗策として開発された。従来、ユーザーがマルウェアに感染すると、Webブラウザ内に保存された認証用クッキーが盗まれ、攻撃者がパスワードを知らなくてもアカウントへアクセスできるケースが問題となっていた。

　情報窃取型マルウェアは高度化しており、ログイン直後のトークンを狙うなど手口が巧妙化している。盗まれたクッキーは、攻撃者の間でバンドル、取引、または販売されるなど被害が広がっている。

　こうした状況に対し、従来は不正アクセスの兆候を検知する手法が中心だったが、攻撃後の対処に依存する構造には限界があった。DBSCはこの課題に対し、仕組みそのものを変えることで対策を講じる。認証セッションを特定の端末に暗号的に結び付けることで、仮にクッキーが外部へ持ち出されても別の環境では利用できないようにする点が特徴だ。

　具体的にWindowsの「Trusted Platform Module」（TPM）や「macOS」の「Secure Enclave」といったハードウェアベースのセキュリティ機能を活用し、端末ごとに外部へ持ち出せない鍵ペアを生成する。この鍵を使ってWebブラウザがサーバに対し正当性を証明し、その確認が取れた場合に限り短寿命（short-lived）のクッキーが発行される。攻撃者は秘密鍵を取得できないため、仮にクッキーを入手しても速やかに期限切れとなり、悪用が困難となる。

　この方式は既存のWebアプリケーションとも互換性を保つ設計となっている。サーバ側で登録や更新用のエンドポイントを追加することで導入でき、フロントエンドの変更は最小限に抑えられる。暗号処理やクッキー更新はブラウザが自動で担うため、開発者の負担も軽減される。

　Googleは過去1年間にわたり試験導入を実施しており、この機能で保護されたセッションにおいて乗っ取りの発生が大きく減少したとしている。

　プライバシー面にも配慮がされている。各セッションごとに個別の鍵が生成されるため、異なるサイトやセッション間でユーザー行動を関連付けることはできない。またサーバに送信される情報は公開鍵に限定され、端末固有情報や識別子は含まれない設計となっている。

　DBSCはオープンなWeb標準として策定が進められており、「Webの世界共通ルール」（W3C標準）の枠組みで検討されてきた。Microsoftとの協力や業界関係者からの意見を反映しつつ仕様が整備されている。Oktaなど複数のサービス事業者が試験に参加し、実運用を想定した検証を実施した。

　今後の開発において、企業環境への対応強化が焦点となる。シングルサインオン環境における連携の強化や、既存の認証基盤との統合、ハードウェアを持たない端末への対応などが計画されている。異なるサービス間での認証連携においても、同一端末との結び付きを維持する仕組みの拡張などが含まれる。

　Googleは開発者のために実装ガイドを公開しており、今後さらなる普及を図るとしている。