Google、セッション乗っ取りを根絶する新技術「DBSC」を一般公開 ― クッキー盗難をデバイス単位で無効化

Googleが、オンラインセッション乗っ取り攻撃の根本的な対策として注目される新技術「DBSC」の一般公開を開始した。これは、従来のクッキー盗難（Cookie Theft）によるアカウント乗っ取りを、デバイス単位で無効化することを目指す革新的な認証技術だ。攻撃者がたとえユーザーのログインクッキーを盗み出しても、それが登録されていないデバイスからのアクセスはDBSCによってブロックされ、セッションの乗っ取りを防ぐ仕組みとなっている。

DBSC（Device Bound Session Credentials）は、認証セッションを特定のデバイスに「ひも付ける」技術だ。ユーザーが初めてサービスにログインしたデバイスを信頼済みデバイスとして登録し、以降のセッション認証はそのデバイス上でのみ有効となる。これにより、フィッシングやマルウェアで盗まれたクッキーが他のマシンで使われる「セッションリプレイ」攻撃を封じ込める。現在、Chrome 146でWindowsへの対応が開始され、今後macOSにも拡大される予定だ。

この技術の一般公開は、特に企業システムや金融サービスなど、高いセキュリティが要求される領域での導入を促す動きとなる。従来の多要素認証（MFA）を補完し、認証後のセッション保護という脆弱な環を強化する。実装が進めば、広範なオンラインサービスにおけるアカウントハッキング被害の大幅な減少が期待される一方、ユーザーデバイスの管理方法や代替端末からのアクセス手順など、新たな運用課題が生じる可能性もある。