Google は、ログインセッションをデバイスのハードウェアにひも付ける新しい Chrome のセキュリティ機能を幅広く展開し始めており、暗号資産ウォレットを保有するすべての人にとって重要な変更となっている。
重要ポイント:
- Google は Device Bound Session Credentials をリリースし、ブラウザーのセッション Cookie をコンピューターのセキュリティチップにロックした。
- この保護により、Cookie を盗み取ることで泥棒が二要素認証(2FA)ログインを回避する一般的な攻撃が阻止される。
- 情報窃取型マルウェアがウォレットや取引所セッションを日常的に狙うため、暗号資産ユーザーは追加のリスクにさらされている。
Chrome がログイン Cookie を保護する新しい仕組み
今週の報道では、数か月にわたる Chromium ブラウザーでのテストを経て、Device Bound Session Credentials(DBSC)の広範な提供が詳しく解説されている。
このツールは現在、Workspace や Enterprise アカウントから個人アカウントまで、ほとんどのユーザーに提供されている。各ログインはデバイスから離れることのない暗号鍵にひも付けられる。
セッション Cookie は、パスワードや二要素コードを毎回入力しなくてもサイトがログイン状態を記憶できるようにする「入場バンド」のような役割を果たす。
泥棒にとってこれらのファイルは非常に価値が高い。なぜなら、盗まれた Cookie はその二段階目の防御を完全に回避できるうえ、これらのトークンはダークウェブ市場で頻繁に売買されているからだ。DBSC は鍵を Windows の Trusted Platform Module や Mac の Secure Enclave 内に保存し、Cookie を更新する前にブラウザーに鍵の保有を証明させる。
その結果、別のマシンでは役に立たない Cookie になる。
関連記事: Kalshi Wins CFTC Approval For First U.S. Bitcoin Perpetual Futures
暗号資産トレーダーが注目すべき理由
暗号資産ユーザーにとって、乗っ取られたセッションは、メールボックスがハッキングされるというより、資金が抜き取られることを意味する。情報窃取型マルウェアは、ブラウザーの Cookie、保存されたパスワード、ウォレットファイルを一気に収集し、リモートサーバーに送信する。
ある分析では、昨年追跡された侵入のおよそ 3 分の 1 に資格情報の窃取が関与していたことが判明しており、この手口がいかに日常化しているかを示している。
この「商売」はすでに産業化しており、研究者たちは「Storm」と呼ばれるサブスクリプション型スティーラーに警鐘を鳴らしている。これは月額 1,000 ドル未満でレンタルでき、ブラウザー拡張機能やデスクトップアプリを通じてウォレットを狙う。
ほかの系統のマルウェアは、Binance、Coinbase、MetaMask、Trust Wallet にひも付いたセッションを監視し、その Cookie を抜き取ってパスワードなしでアカウントに侵入する。
DBSC がユーザーに届くまでの長い道のり
Google が DBSC を最初に発表したのは 2024 年で、その後パブリックベータを経て、Windows 向けの Chrome 146 以降で一般提供に移行し、バージョン 148 以降で Mac をカバーするようになった。
同社は Workspace アカウント向けに DBSC をデフォルトで有効化しており、管理者がオフにすることはできない。取引所のタブやウォレット拡張機能を一日中開きっぱなしにしているトレーダーにとって、このアップデートは彼らの資金に入り込む最も単純なルートのひとつを静かに塞ぐことになる。
次に読む: Dogecoin Reserves Edge Up To 28B As Whale Support Stays Weak