Chromeに搭載される新機能「DBSC」は盗まれたCookieの悪用を防ぐ

ウェブサイトへのログイン状態を維持してくれたり、サイトの設定を保存してくれたりする「Cookie」は、便利だからこそ悪意を持った攻撃者にとっては格好の標的であり、Cookieを盗み出すマルウェアによって、アカウントに不正アクセスされる事例は後を絶ちません。こうした事例を防ぐため、GoogleがCookieを盗まれても安全な状態を保つための新機能「DBSC(Device Bound Session Credentials)」を開発していることがわかりました。
Chromium Blog: Fighting cookie theft using device bound sessions
https://blog.chromium.org/2024/04/fighting-cookie-theft-using-device.html

New Chrome feature aims to stop hackers from using stolen cookies
https://www.bleepingcomputer.com/news/security/new-chrome-feature-aims-to-stop-hackers-from-using-stolen-cookies/

Google to Fight Cookie Hijacking With Encryption Keys for Chrome Browser | PCMag
https://www.pcmag.com/news/google-to-fight-cookie-hijacking-with-encryption-keys-for-chrome-browser
Cookieには、ウェブサイトの閲覧情報・ログイン情報・設定などが記憶されていて、攻撃者に悪用されると多要素認証を回避してアカウントを乗っ取られる恐れがあります。
DBSCは、Cookieを端末とペアリングして暗号化することで、攻撃者が盗み出したとしても悪用できなくするための機能です。
Googleのエンジニアであるクリスチャン・モンセン氏は「DBSCにより、Cookieを盗み出すマルウェアの成功率は大きく低下すると思います。攻撃者は端末にローカルでアクセスすることを余儀なくされるので、ウイルス対策ソフトウェアやエンタープライズ管理デバイスにおいて、マルウェアの検出・駆除がより効果的に行えるようになります」と述べています。
DBSCはまだ試作品の段階ですが、Google ChromeなどChromium系のブラウザで「chrome://flags/」にアクセスし、「Device Bound Session Credentials」関連の項目を「Enable」にすると試用することが可能です。

DBSCは、サードパーティーCookieの段階的廃止に合わせて展開される予定となっており、機能が全面展開されると、消費者とエンタープライズユーザーのGoogleアカウントのセキュリティは自動的にアップグレードされることになるとのことです。
GoogleがサードパーティーCookie廃止へのスケジュールを公開、2024年スタート予定 - GIGAZINE