Google は 2026 年 4 月 9 日(現地時間)、Chrome ブラウザにおけるマルウェアによるセッション Cookie の盗難を防ぐための新機能「Device Bound Session Credentials (DBSC)」を、Windows 向けの Chrome 146 で一般公開したことを発表しました。
この機能により、万が一デバイスから Cookie が盗み出された場合でも、別のデバイスなどの環境ではセッションが機能しないよう保護されるため、アカウントへの不正アクセスを未然に防ぐことができます。
なお、macOS 向けについても今後のアップデートで対応する予定です。
セッションハイジャックを防ぐ新機能 DBSC
現代のセキュリティにおいて、パスワードだけでなくセッション Cookie の盗難が大きな脅威となっており、マルウェアなどにより Cookie が盗まれると、二段階認証を設定していてもアカウントが乗っ取られる危険性があります。
今回 Chrome 146 で導入された DBSC は、ログインセッションをユーザーの特定のデバイスに暗号的に紐付けることで、この問題に対処しています。この仕組みにより、マルウェアが Cookie を盗み出して別のデバイスで使用しようとしても、元のデバイスがない限り機能しないため、事実上無効化されます。
Google によると、Okta などのプラットフォームと連携した初期テストでは、アカウントの乗っ取りが大幅に減少したことが確認されています。
ウェブサイト側もバックエンドに専用のエンドポイントを追加するだけでフロントエンドの互換性を維持できるため、今後の幅広い普及が見込まれます。
ハードウェアを利用した強力な保護とプライバシーへの配慮
DBSC は、Windows の TPM (Trusted Platform Module) や macOS の Secure Enclave といったハードウェアのセキュリティモジュールを利用しており、デバイスからエクスポートできない固有の暗号鍵が生成されます。
また、この機能はユーザーのプライバシー保護を念頭に設計されており、ウェブサイトごとに異なるキーが割り当てられるため、サイト間での行動追跡には利用されません。
デバイスのシリアル番号などの個人情報もサーバーには送信されず、安全な認証のみを行う仕組みになっています。
今後の展開とエンタープライズ向けの機能強化
現在 DBSC は Windows 向けの Chrome 146 で利用可能ですが、今後は macOS への展開も予定されています。さらに Google は、シングルサインオン (SSO) などの複雑なエンタープライズ環境に対応するため、DBSC の標準化と機能拡張を進めています。
これには、ID プロバイダーをまたいだ認証の維持や、既存のセキュリティキーとの統合などが含まれます。また、専用のセキュリティハードウェアを持たないデバイスへの対応も検討されており、今後の Chrome のアップデートでさらなるセキュリティ強化が期待できます。
まとめ
Windows 版 Chrome 146 で展開が開始された DBSC は、Cookie 盗難による不正アクセスを根本から防ぐ重要なセキュリティアップデートです。
ユーザー側で複雑な設定を行う必要なく、バックグラウンドで動作してアカウントを保護するため、安全性が大きく向上することが期待されます。macOS やその他の環境への展開を含め、今後のアップデートにも期待です。
なお、記事執筆時点における Windows / macOS のデスクトップ版 Chrome ブラウザのバージョンは、Chrome 147 が最新となっています。
- 関連記事:
