クッキーとトークンの盗難に対抗するGoogleの新しいセキュリティ機能
Googleは、デジタルセキュリティ強化に向けた積極的な取り組みの一環として、組織がCookieや認証トークンの盗難を阻止するための3つの重要な改善を発表しました。同社によると、アカウント乗っ取りの成功例の約37%は、こうした種類の盗難によるものだとのことです。
メール配信型のインフォスティーラーの増加は、サイバー犯罪者がセッションデータを窃取し、ユーザーアカウントへの不正アクセスを得るための革新的な戦略を考案していることから、大きな課題となっています。この戦術により、サイバー犯罪者は堅牢な多要素認証システムさえも回避し、比較的容易にアカウントに侵入することが可能になります。
パスキーサポートの導入
最初の主要な機能強化は、すべてのGoogle Workspaceユーザーを対象としたパスキーのサポートです。この機能は、ユーザーエクスペリエンスを簡素化するだけでなく、セキュリティプロトコルを大幅に強化します。パスキーは個々のデバイスに紐付けられるため、フィッシング攻撃に対する耐性が向上します。
パスキーのサポートは現在、1, 100 万人を超える Google Workspace のお客様に一般提供されており、登録を監査したり、パスキーを物理的なセキュリティ キーに制限したりするための管理機能が拡張されています。
デバイスバインドセッション資格情報(DBSC)
2つ目の機能強化は、デバイスバウンドセッション認証情報(DBSC)の導入です。これは現在オープンベータ版として利用可能です。この機能は、ログイン後もユーザーを保護します。仕組みは以下のとおりです。ログイン時に、ブラウザは公開鍵と秘密鍵の一意のペアを生成します。秘密鍵はデバイス(理想的にはハードウェアセキュリティモジュール内)に安全に保存され、公開鍵はサーバーに送信されます。アクティブなセッションを維持するために、サーバーは秘密鍵を持つデバイスだけが正しく応答できるチャレンジを定期的に発行します。
この高度なセキュリティ対策により、たとえ攻撃者がセッションCookieを盗んだとしても、秘密鍵にアクセスできないため、攻撃者のデバイス上ではCookieが無効になります。現在、DBSCはWindowsユーザー向けのChromeでのみ利用可能です。
共有シグナルフレームワークによるセキュリティ強化
今後の展望として、Googleは今年後半にShared Signals Framework(SSF)レシーバーを導入する予定です。この革新的な機能により、さまざまなセキュリティサービスが標準化された方法で通信できるようになります。IDプロバイダがお客様のアカウントに潜在的な問題を発見した場合、速やかにGoogleに通知してセッションを終了させることで、不正アクセスのリスクを最小限に抑えることができます。
このようなセキュリティ対策の進歩は、2023年に発生したLinus Tech Tipsへのハッキングなど、近年の注目を集めたインシデントを踏まえると、特に重要です。この侵害は、スポンサーシップメールにリンクされたPDFを装った悪意のあるファイルを従業員が誤って開いたことで発生し、その後、チャンネルのセッショントークンが侵害されました。DBSCをはじめとする新たに実装された機能は、将来的に同様の認証情報盗難が発生する可能性を大幅に低減することを目的としています。
コメントを残す