パスキーと DBSC で、注目の重大な脅威によるアカウントの乗っ取りを阻止

※この投稿は米国時間 2025 年 7 月 30 日に、Google Workspace blog に投稿されたものの抄訳です。

この 1 年間、防御者は 2 つの面で大きなプレッシャーに直面してきました。1 つ目は、攻撃者がフィッシングと認証情報窃取の攻勢を強めていること。これらは侵入成功の事例の 37% を占めています。2 つ目は、攻撃者が好む手法として、Cookie と認証トークンの窃取が指数関数的に増加していること。2024 年にメール配信された情報窃取型マルウェアは、前年比で 84% も増加しています。2025年になっても、この傾向は衰える気配がありません。

今回は、組織がこのような攻撃ベクトルを軽減するのに役立つ、アカウント セキュリティの 3 つの機能強化についてご紹介します。

1. パスキーのサポートの一般提供が、1,100 万を超える Google Workspace のお客様を対象に開始されました。登録の監査、パスキー利用の物理的なセキュリティ キーへの制限など、管理機能も拡大されました。

2. Device Bound Session Credentials（DBSC: デバイス連携型のセッション認証情報）がオープンベータ版で利用可能になり、ログイン後の保護が強化されました。

3. 今年中に、一部のお客様とパートナー様向けの限定ベータ版で共有シグナル フレームワーク（SSF）レシーバーを導入し、評価とフィードバックをご提供いただく予定です。

これらの進歩は、アカウントのセキュリティを大幅に強化し、アカウント乗っ取りに対する Google Workspace のお客様の防御体制を大きく前進させるものです。では、詳しく見ていきましょう。

より簡単かつ安全なログイン

パスキーは、ウェブサイトやアプリで便利かつ安全な認証プロセスを実現する、パスワードのいらないログイン方式です。他人に推測されたり、盗難に遭ったり、忘れたりする可能性があるパスワードとは異なり、パスキーはユーザーのデバイスに紐付けられた固有のデジタル認証情報で、次のようなメリットがあります。

• フィッシング耐性: パスキーはユーザーを騙して盗むことができないため、本質的に高いフィッシング耐性を備えています。

• 使いやすさ: パスキーでのログインは、指紋認証、顔認識などの生体認証や PIN を使用してデバイスのロックを解除するのと同じくらい簡単です。

• 強力なセキュリティ: パスワードは再利用されがちですが、パスキーは特定のウェブサイトやサービスごとに固有のものが生成されます。

Workspace ユーザーの場合、パスキーを使うとパスワードよりも 40% 早くログインできます。これまでに、企業や非営利団体、教育機関の数多くのユーザーがパスキーを利用してそのメリットを活かしています。

ウェイク フォレスト大学のエンタープライズ システム＆クラウド プラットフォーム担当エグゼクティブ ディレクターである Odi Iancu 氏は次のように述べています。「セキュリティにおいては常に言えることですが、常に前進し、改善し続ける必要があると実感しています。当大学では、Google Workspace for Education Plus でこれに必要なツールを手に入れました。セキュリティ キーとパスキーを活用してフィッシング対策に効果的な 2 要素認証に移行し、セキュリティ ポスチャーをさら改善しています。」

ウェイク フォレスト大学での Google Workspace の利用状況について詳しくは、お客様事例をご覧ください。

ログイン後のアカウントの保護

ログイン後のアカウント防御をさらに強化するために、Google のセキュリティ対策に革新的な保護機能である Device Bound Session Credentials（DBSC）が加わります。Windows 版 Chrome ブラウザで利用できる DBSC は、ユーザーがログインした後のセキュリティを強化するもので、認証に使用されたデバイスにセッション Cookie（ウェブサイトがユーザー情報の記録に使用する小さなファイル）をバインドします。

DBSC によって次のことが実現します。

• 認証後の保護の強化: アクティブなセッションにアクセスできるのは、認証に使われたデバイスのみに制限されます。

• Cookie の盗難リスクの軽減: 悪意のある行為者が盗んだセッション Cookie を他のデバイスで不正利用することが非常に困難になります。

• セッションの完全性の強化: コンテキストアウェア アクセス（CAA）と併用し、より詳細なアカウント属性によって保護を強化できます。最初のログイン後に攻撃者によってログイン認証情報が盗まれた場合でも、保護が機能します。

一部のお客様はすでに DBSC を使用して Workspace ユーザーの保護を開始しており、コンテキストアウェア アクセス（CAA）による機能拡張を予定しているお客様も増えています。

リスク変化検出時のユーザー アカウントの保護

パスキーと DBSC によってアカウントへの不正アクセスは大幅に困難になりますが、重要なのは、リスクの変化が検出されたときにユーザー アカウントを保護できることです。そのために、Google は、セキュリティ パートナーからのセキュリティ シグナルを利用するレシーバーを開発しています。Shared Signals Framework（SSF）は、各種プラットフォームにおいて重要なセキュリティ シグナルを準リアルタイムで交換できるように設計された OpenID 標準です。このフレームワークは、影響度の大きなイベントを「トランスミッター」から「レシーバー」へ迅速に通知するための堅牢なシステムとして機能し、セキュリティ脅威への連携した対応を促進します。

シグナルの共有によって、脅威の検出と対応だけでなく、デバイス情報やユーザー情報などのさまざまなプロパティの共有も可能になり、総合的なセキュリティ ポスチャーと共同での防御メカニズムがさらに強化されます。このベータ版プログラムは、数か月以内に ID およびエンドポイント セキュリティ パートナー様、そしてお客様を対象に拡大される予定です。詳しくは、こちらの記事で参加方法をご覧ください。

次のステップ

トークンの盗難は重大な侵害につながる脅威として浮上しており、Device Bound Session Credentials（DBSC）の評価と実装は、多くのお客様にとって重要な優先事項となっています。セキュリティを強化し、フィッシングや情報窃取型マルウェアによるアカウントの乗っ取りを防ぐために、パスキーと DBSC をすぐに有効にすることをおすすめします。詳細情報と実装手順は、以下のリソースでご確認いただけます。

• パスキー: パスワードの代わりにパスキーでログインする

• DBSC: オンライン セッションのセキュリティを強化する（ベータ版）

Workspace とより安全な働き方について詳しくは、エンタープライズ セキュリティに関する最新のブログ投稿をお読みください。また、こちらのウェブページで Google のプロダクトおよびサービスの全容をご確認ください。