Source: https://thehackernews.com/2025/07/google-launches-dbsc-open-beta-in.html
🛡 概要
Googleは、デバイスにバウンドされたセッション資格情報(DBSC)というセキュリティ機能をオープンベータとして提供開始し、セッションCookieの盗難攻撃からユーザーを保護することを目指しています。この機能は、2024年4月にプロトタイプとして初めて紹介され、認証セッションをデバイスに結びつけることで、攻撃者が盗まれたCookieを使用してユーザーアカウントに不正アクセスするのを防ぎます。
DBSCは、ログイン後のユーザーアカウントの保護だけでなく、セッションCookieの再利用を難しくし、セッションの整合性を向上させることを目的としています。さらに、Google Workspaceの1,100万人以上の顧客に対してパスキーのサポートが一般に提供され、管理者がパスキーの登録を監査し、物理的なセキュリティキーに制限するための拡張管理機能も追加されています。
🔍 技術詳細
DBSCは、ユーザーが認証されたデバイスにセッションCookieをバインドすることにより、攻撃者が別のデバイスを使用してCookieを再利用することを困難にします。この技術により、セッションの整合性が確保され、悪意のある行為からユーザーを守ります。また、Googleは、特定の顧客向けにクローズドベータとして共有信号フレームワーク(SSF)レシーバーの展開を計画しています。このフレームワークは、OpenID標準を使用してリアルタイムで重要なセキュリティ信号を交換することを可能にします。
さらに、Google Project Zeroは、ゼロデイ脆弱性の発見を追跡するための新しい試験政策「報告透明性」を発表しました。これは、脆弱性の修正がリリースされてからユーザーが適切な更新をインストールするまでの時間を短縮することを目的としています。この政策により、脆弱性の発見から1週間以内に関連するベンダーに報告された脆弱性の情報が公開される予定です。
⚠ 影響
DBSCの導入により、ユーザーのアカウントが不正アクセスから保護される可能性が高まりますが、一方で新たな技術の導入に伴い、既存のシステムとの互換性や導入の難易度が懸念されることがあります。また、パッチ透明性政策により、脆弱性の情報が早期に公開されることで、悪意のある行為者に対しても情報が提供される可能性があります。このため、セキュリティ対策を強化する必要があります。
特に、DBSCの実装が進むことで、従来のセッション管理手法が影響を受け、システム全体のセキュリティアーキテクチャの見直しが求められるかもしれません。ユーザーが新しい認証方法に慣れるまでの教育やサポートが必要です。
🛠 対策
ユーザーや企業は、DBSC機能を早期に導入することで、セッションCookieの盗難からの保護を強化できます。初期段階では、DBSCをテストしてフィードバックを提供し、機能の改善に寄与することが重要です。また、パスキーの導入を進め、物理的なセキュリティキーを使用することにより、さらにセキュリティを高めることができます。
加えて、Google Project Zeroの報告透明性政策を活用し、脆弱性の情報を積極的に監視し、自社のシステムに対する脅威を把握することが求められます。定期的なセキュリティ教育を実施し、従業員に最新のセキュリティ対策を周知徹底することも重要です。最終的には、全体的なセキュリティポリシーを見直し、最新の技術を取り入れることで、より安全な環境を構築することができます。
