Google は、情報を盗む悪意のあるソフトウェアが Windows オペレーティング システム上の Cookie にアクセスしようとするのを防ぐことを目的とした、App-Bound Encryption と呼ばれる Chrome ブラウザ用の新しいセキュリティ機能を発表しました。
Chrome セキュリティ チームの Will Harris によると、Chrome は Data Protection API (DPAPI) を使用しています。他のユーザーや Windows システムに対するコールド ブート攻撃から保存データを保護します。ただし、DPAPI は、ログイン ユーザーとしてコードを実行する悪意のあるアプリケーションに対する保護を提供しないため、情報窃取攻撃に対して脆弱なままになります。
アプリバインド暗号化は、暗号化されたデータ内に Chrome などのアプリケーションの ID を埋め込むことでデータ保護 API (DPAPI) を改善するセキュリティ対策です。これを含めることで、システム上の他のアプリケーションがデータを復号化しようとするときにデータにアクセスできなくなります。 Harris 氏は、アプリにバインドされたサービスはシステム権限で動作するため、潜在的な攻撃者はこのセキュリティ機能をバイパスするために権限を昇格するか、Chrome にコードを挿入する必要があると指摘しました。これは、正規のソフトウェアでは非常に起こりにくいシナリオです。
暗号化キーがマシンに厳密にバインドされているため、この方法は Chrome プロファイルが複数のマシン間を移動する環境と互換性がありません。ローミング プロファイルを採用している組織は、ベスト プラクティスを実装し、ApplicationBoundEncryptionEnabledを設定することをお勧めします。 ApplicationBoundEncryptionEnabled) ポリシー。
Chrome 127 に実装されたこの最近のセキュリティ強化は、現時点では Cookie の保護のみに重点を置いています。それにも関わらず、Google は将来的にはパスワード、支払い情報、追加の認証トークンを含むようにこの保護を拡張する予定です。
4 月、Google は、Windows イベント ログ タイプ、DPAPIDefInformationEvent を利用して、他のイベント ログのインスタンスを識別する方法の概要を説明しました。システム上のアプリケーションがブラウザの Cookie と認証情報にアクセスする。
macOS および Linux システムの場合、Chrome はキーチェーン サービスと、kwallet や gnome-libsecret などのシステム提供のウォレットを利用して、パスワードと Cookie のセキュリティを確保します。
この開発は、強化されたセーフ ブラウジング、デバイス バインド セッション認証情報 (DBSC)、悪意のある可能性のあるダウンロードの自動チェックなど、Chrome に導入された多数のセキュリティ強化を受けて行われました。ハリス氏は、アプリバインド暗号化によりデータ盗難行為の複雑さと検出可能性が高まり、セキュリティチームがシステム内の他のアプリによって許容されるアクションに対する明示的な制限を定義するのに役立つと強調した。
さらに、Google は最近、Chrome でサードパーティ Cookie を非推奨にしない決定を下したことに注意してください。この動きは、World Wide Web Consortium (W3C) からの批判にさらされています。 W3Cは、サードパーティCookieは追跡を可能にするため、特にマイクロターゲットを絞った政治的メッセージをサポートするという点で社会にマイナスの影響を与える可能性があり、引き続き使用されることに懸念を表明した。さらに、W3C は、この決定により、さまざまな Web ブラウザー向けのサードパーティ Cookie に代わる実行可能な代替手段の開発の進捗が妨げられる可能性があると警告しました。