C4 Bomb Attack という脅威:Chrome の AppBound Cookie 防御をすり抜けていく

New C4 Bomb Attack Breaks Through Chrome’s AppBound Cookie Protections

2025/07/01 gbhackers — C4 Bomb (Chrome Cookie Cipher Cracker) と呼ばれる新たな攻撃手法を、サイバー・セキュリティ研究者たちが公開した。この攻撃手法は、Google Chrome に導入された、注目の AppBound Cookie Encryption を回避するものである。最近の Google は、情報窃取型マルウェア対策として Chrome の保護強化を進めているが、この C4 Bomb 攻撃により、Cookie 窃取・認証情報の漏洩に加えて、潜在的なデータ漏洩という新たなリスクに、数百万のユーザーが直面することになった。

AppBound Cookie Encryption とは?

2024年7月の時点で Google は、マルウェアによるブラウザ Cookie の窃取を防止する目的で、Chrome バージョン 127 に AppBound Cookie Encryption を導入した。

CyberArk のレポートによると、この新たな保護機能では二重暗号化メカニズムが採用されている。Cookie は、ログイン・ユーザーの Windows Data Protection API (DPAPI) により暗号化され、続いて SYSTEM アカウントの DPAPI により再度暗号化される。

従来の Cookie 保護フロー

Chrome は Cookie の復号処理を、昇格サービスである特権 COM サーバに委任していた。このサービスは、正当な Chrome プロセスからのリクエストであることを検証し、低権限のマルウェアによる機密データへのアクセスを、理論上では遮断していた。

しかし、この多層的な保護をすり抜ける、深刻な暗号化フロー上の脆弱性が、研究者たちにより発見された。C4 Bomb は、パディング・オラクル攻撃と呼ばれる古典的な暗号攻撃手法を応用し、低権限の攻撃者であっても、保護された Cookie BLOB の体系的な復号化を可能にする。

Old cookie protection flow
Old cookie protection flow

この攻撃は、DPAPI におけるパディングとエラー報告処理の微細な欠陥を突くものであり、Windows イベント・ログを “オラクル” として利用することで正しいパディングを推定し、暗号化データを段階的に復元していくものだ。

C4 攻撃は、暗号化 Cookie キーの改変版を昇格サービスに繰り返して送信し、その結果として返されるエラー・メッセージを観察する。

数千回におよぶ反復処理を通じて攻撃者は、システムで暗号化されたキーの再構築を達成し、標準的なユーザー・レベルの復号機能を使って Cookie キーを取得し、保存された全ての Cookie にアクセスできるようになる。この一連の攻撃において、管理者権限は不要である。

C4 Bomb に関する情報公開の背景には、Chrome の新たな保護機能に対して、情報窃取型マルウェアが急速に適応しているという現状への懸念がある。

ここ数ヶ月において、Lumma/Meduza/Vidar/WhiteSnake といった複数のマルウェア・ファミリーが実装しているのは、直接的なプロセス・インジェクションや、権限昇格の脆弱性の悪用などの、独自のバイパス手法である。

Chrome before (top) and after(bottom) COM hijacking
Chrome before (top) and after(bottom) COM hijacking

さらに、C4 攻撃を自動化するオープンソース・ツールの登場により、さらにリスクが拡大している。このツールの存在により、高度な技術を持たない脅威アクターであっても、高度な Cookie 窃取攻撃が可能になっている。つまり、Google をはじめとするセキュリティ・コミュニティ全体にとって、新たな対策の開発/展開が急務となっているのだ。

Chrome のセキュリティ・エンジニアたちは、「マルウェアの状況は絶えず進化している。我々は、セキュリティ・コミュニティの他のメンバーと協調し、検出機能の向上に引き続き取り組んでいる。そこには、あらゆるバイパスに対抗する、オペレーティング・システム防御の強化が含まれる」と述べている。

この C4 Bomb 攻撃が浮き彫りにするのは、ブラウザ開発者とサイバー犯罪者との間で続く、イタチごっこの現実である。

AppBound Encryption により、攻撃者に対する障壁は高まったが、最新の調査結果が示すのは、どれほど強固に思える防御機構であっても、巧妙な暗号攻撃により突破され得るという事実である。

ユーザーに対して、特にエンタープライズ環境における管理者に対して推奨されるのは、より強固なセキュリティ対策が整備されるまで、警戒を緩めず、セキュリティ・ツールの更新を継続し、機密性の高い認証情報をブラウザに保存しないように務めることである。

Chrome のセキュリティ機能 AppBound Cookie Encryption を回避する、新たな攻撃手法 C4 Bomb が登場しました。仕組みは少し複雑ですが、管理者権限を必要としない攻撃が可能であるため、企業や個人のユーザーにも影響が及ぶと、この記事は指摘しています。ご利用のユーザーさんは、ご注意ください。よろしければ、Chrome で検索も、ご参照ください。