Google Chromeチームは7月30日(米国時間)、「Google Online Security Blog: Improving the security of Chrome cookies on Windows」において、マルウェアからCookieを保護するためアプリケーションバウンド(Application-Bound)暗号化を導入したと発表した。この機能は最新のWindows向けChromeバージョン127から有効になっており、今後はパスワード、認証トークンなどに拡大していく予定としている。

  • Google Online Security Blog: Improving the security of Chrome cookies on Windows

    Google Online Security Blog: Improving the security of Chrome cookies on Windows

アプリケーションバウンド暗号化とは

アプリケーションバウンド暗号化はWindowsのデータ保護API(DPAPI: Data Protection Application Programming Interface)を拡張し、SYSTEMコンテキストとユーザーコンテキストを使用してデータを暗号化する。このとき、特権のあるシステムサービスの内部で暗号化を要求するアプリケーションを検証し、暗号データにアプリケーション情報を組み込む。

データの復号時にもアプリケーションの検証が行われるため、アプリケーション、ユーザー、システムのすべてが合致する場合に限りデータを復号化できる。従来はアプリケーションの検証がなかったため、情報窃取マルウェアのようにユーザーコンテキストを持つアプリケーションから暗号データを保護することはできなかった。

  • アプリケーションバウンド暗号化の概念図 - 引用:Google

    アプリケーションバウンド暗号化の概念図 引用:Google

攻撃コストの増大

この暗号化手法は完全なデータ保護を保証するものではない。管理者権限を奪取された場合やChromeを改ざんされた場合はデータを窃取される可能性がある。

しかしながら、管理者権限の奪取やChromeの改ざんは容易ではなく、実行できたとしてもセキュリティソリューションの検出を回避することは難しいとみられる。そのため、最小権限の原則などセキュリティ対策のベストプラクティスを実施している企業ユーザーを侵害し、アプリケーションバウンド暗号化を突破することは非常に困難と推測される。

推奨事項

Chromeのアプリケーションバウンド暗号化導入により、Windows環境においてもmacOSと同等のデータ保護が期待できるようになった。しかしながら、上記のように突破する手段が存在するため、Chromeユーザーにはセキュリティ対策のベストプラクティスを実施することが推奨されている。具体的には管理者権限でアプリケーションを実行できるユーザーを制限し、エンドポイント検出応答(EDR: Endpoint Detection and Response)を導入することが望まれている。

なお、アプリケーションバウンド暗号化はChromeプロファイルのローミングをサポートしない。Chromeプロファイルを複数のデバイス間でローミングする場合は、「Chrome Enterprise のポリシーリストと管理 | ドキュメント」を参考にアプリケーションバウンド暗号化を無効にする必要がある。