グーグルは、攻撃者がフィッシングや資格情報の盗難手法を強化しており、特にクッキーや認証トークンの盗難が急増していると発表しました。この問題に対処するため、グーグルはワークスペースユーザー向けに「クッキー盗難」の防止策を講じる方針です。
クッキー盗難とは、ユーザーのデバイスにマルウェアが侵入し、デバイス上のブラウザから認証クッキーをリモートサーバーに送信することを指します。これにより、二要素認証を回避することが可能となります。
対策として、グーグルはパスキーの採用を推奨しており、現在、1,100万以上のグーグルワークスペース顧客に一般提供されているということです。管理者はパスキーの登録を監査し、物理的なセキュリティキーに制限することができます。パスキーは、パスワードと比べて「推測されることも、盗まれることも、忘れられることもない」という特徴があります。
グーグルによれば、ワークスペースユーザーにとってパスキーを用いたサインインは、パスワードよりも40%速いとしています。
これまでに、企業、非営利団体、教育機関を含む数百万のユーザーがパスキーの利用による恩恵を受けているということです。
一方、グーグルはクッキー盗難を防ぐために、デバイスバウンドセッションクレデンシャル(DBSC)も導入する方針です。昨年からオープン開発が始まり、ウェブ標準化を目指しています。
DBSCは、ユーザーが認証したデバイスにセッションクッキーを結びつける技術です。これはWindows版Chromeで利用可能で、元のデバイスのみがアクティブセッションにアクセスできるということです。既に一部のワークスペース顧客がエンドユーザーを保護するために使用しています。
グーグルのクッキー盗難削減のもう一つの取り組みとして、共有シグナルフレームワーク(SSF)があります。
このフレームワークは、「送信者」が「受信者」に対して重要なイベントを迅速に通知するための強力なシステムとして機能し、セキュリティ脅威への協調的な対応を促進するということです。