Google Chrome の DBSC が正式に提供開始:セッション・クッキー窃取対策を強化

Google Chrome’s Device-Bound Session Credentials Now GA to Block Account Takeovers

2026/05/30 CyberSecurityNews — Google が発表したのは、Windows 版 Chrome の Device Bound Session Credentials (DBSC) を、一般提供へと正式に移行したことである。この対応は、最も執拗な脅威の一つとして、現代のサイバー・セキュリティに残存するセッション・クッキー窃取に対する強力な防御を実現するものだ。これまで、Google Workspace ユーザー向けにベータ版として提供されてきた DBSC だが、すべての Google Workspace 顧客/Workspace Individual サブスクライバー/個人の Google アカウント・ユーザーに対して、すでにデフォルトで有効化されている。

セッション・クッキーは、Web サイトが認証済みユーザーを記憶するために使用する小さなファイルであるが、長年にわたり脅威アクターにとって高価値の標的となってきた。情報窃取型トロイの木馬などのマルウェアが、このクッキーを日常的に収集し、アクティブなセッションを乗っ取ることで、多要素認証を完全に回避する pass-the-cookie 攻撃が脅威とされてきた。

DBSC は、ユーザーが認証を行った特定のデバイスとセッション・クッキーを、暗号的に紐付けることで、この脅威に直接対抗する。たとえマルウェアが、侵害されたエンドポイントからクッキーの窃取に成功したとしても、そのクッキーは他のマシンでは実質的に無効となる。これにより、盗み出したセッション・トークンを介して、持続的なアクセスを維持しようとする、攻撃者の運用コストが大幅に上昇する。

Google は、DBSC を Context-Aware Access (CAA) と統合することで、さらに防御能力を強化する。この 2つの機能を活用する組織は、初期認証に対して検証レイヤを追加することで、デバイス属性/ユーザー行動/環境シグナルに基づく詳細なアクセス・ポリシーの適用が可能となる。

Workspace 管理者は、セキュリティ調査ツールの監査ログを通じて、DBSC のバインディング・イベントを直接監視できるようになる。それにより、セキュリティ・チームは環境全体における異常を検出し、セッションの完全性と整合性の追跡が可能になる。

DBSC はデフォルトで有効化され、管理者の操作は一切不要であり、また、管理コンソールから無効化することもできない。

展開スケジュールと利用可能範囲

Google は、2026年5月25日に段階的なロールアウトを開始した。この対応は、Rapid Release ドメインおよび Scheduled Release ドメインの双方を対象とし、60日以内に全機能の展開と可視化が完了する見込みである。

この機能の対象ユーザーは以下の通りである。 

  • すべての Google Workspace 顧客 
  • Workspace Individual サブスクライバー 
  • 個人の Google アカウント・ユーザー

DBSC が示すのは、認証後のセキュリティにおける重要なアーキテクチャ上の転換である。従来のように、境界防御やログイン時の多要素認証のみに依存するのではなく、セッションのライフサイクル全体にわたって信頼性の検証を拡張するものである。

認証情報に対して DBSC が提供されることで、高度な脅威アクターによるラテラル・ムーブメントや、侵害後の持続化手法に対する露出リスクが低減されることは、企業のセキュリティ・チームにとっての朗報となる。

セキュリティ・チームに対して推奨されるのは、Google Admin コンソール内の監査ログを確認し、通常の DBSC バインディング動作のベースラインを確立することだ。それに加えて、アクティブなセッション・ハイジャックの試みやセッション乗っ取りの兆候を示す逸脱を特定することも必要となる。

訳者後書:ユーザーを識別するためのセッション・クッキーが、マルウェアなどにより盗まれてしまうという問題があります。認証を通過した後に発行されるクッキーは、ログイン状態を維持する便利な仕組みですが、これが悪意ある攻撃者に複製されてしまうと、強力な多要素認証さえもすり抜けた、アカウントの乗っ取りが発生してしまいます。この pass-the-cookie 攻撃と呼ばれる手法に対抗するため、クッキーと特定のデバイスを暗号技術で強固に結びつける DBSC が導入されました。これにより、認証情報の保護が強化されます。よろしれば、Cookie での検索結果も、ご参照ください。