Google は、ログインセッションをデバイスのハードウェアにひも付ける新しい Chrome のセキュリティ機能を広く展開し始めた。これは、暗号資産ウォレットを保有するユーザーにとって重要な変更だ。
主なポイント
- Google は Device Bound Session Credentials(DBSC)をリリースし、ブラウザーセッションの Cookie をコンピューターのセキュリティチップにロックした。
- この保護により、Cookie を盗むことで犯人が二要素認証(2FA)ログインを回避できてしまう一般的な攻撃が防がれる。
- 情報窃取型マルウェアは、ウォレットや取引所のセッションを日常的に狙うため、暗号資産ユーザーは特にリスクが高い。
Chrome がログイン Cookie を保護する仕組み
今週のレポートでは、数か月にわたり Chromium ベースのブラウザーでテストされてきた Device Bound Session Credentials(DBSC)が、広く展開されていることが詳しく解説されている。
このツールは、Workspace や Enterprise アカウントから個人アカウントまで、ほとんどのユーザーに行き渡りつつあり、各ログインをデバイスから離れることのない暗号鍵にひも付ける。
セッションクッキーは、チケット制イベントのリストバンドのような役割を果たし、サイトが毎回パスワードや二要素コードを求めることなくログイン状態を記憶できるようにする。
犯人がこうしたファイルを重宝するのは、盗まれた Cookie が二段階目の防御を完全に迂回できるうえ、そのトークンがダークウェブ市場で頻繁に売買されているからだ。DBSC は鍵を Windows の Trusted Platform Module や Mac の Secure Enclave 内に保存し、Cookie を更新する前にブラウザーに鍵の保持を証明させる。
その結果、Cookie は別のマシン上では無意味なものになる。
関連記事: Kalshi Wins CFTC Approval For First U.S. Bitcoin Perpetual Futures
暗号資産トレーダーが気にすべき理由
暗号資産ユーザーにとって、乗っ取られたセッションは、メールボックスがハッキングされるというより「資金が抜き取られる」事態を意味する。情報窃取型マルウェアは、ブラウザーの Cookie、保存されたパスワード、ウォレットファイルを一度に収集し、リモートサーバーに送信する。
ある分析では、昨年追跡された侵入の約 3 分の 1 に資格情報の窃取が関与していたと報告されており、この手口がどれほど一般化しているかが示されている。
また、この取引は一種の産業へと変貌しており、研究者は Storm と呼ばれるサブスクリプション型の情報窃取ツールを指摘している。これは月額 1,000 ドル未満でレンタルされ、ブラウザー拡張機能やデスクトップアプリを通じてウォレットを狙う。
ほかの亜種は、Binance、Coinbase、MetaMask、Trust Wallet にひも付くセッションを監視し、Cookie を盗み出してパスワードなしでアカウントに侵入する。
DBSC がユーザーに届くまでの長い道のり
Google は 2024 年に DBSC を初めて発表し、その後パブリックベータを経て、Windows 向け Chrome 146 以降で一般提供を開始し、Mac ではバージョン 148 以降でカバーした。
同社は Workspace アカウントに対して DBSC をデフォルトで有効化しており、管理者が無効にすることはできない。取引所のタブやウォレット拡張機能を一日中開きっぱなしにしているトレーダーにとって、このアップデートは、資金への最も単純な侵入経路の一つを静かに塞いでくれる。
次の記事: Dogecoin Reserves Edge Up To 28B As Whale Support Stays Weak