公開日: 2025 年 3 月 17 日
昨年、Google は Chrome の App-Bound Encryption による Cookie と認証情報のセキュリティ強化についてお知らせしました。
この新しい保護により、この種のアカウント乗っ取りが大幅に減少したことが確認されましたが、攻撃者は引き続きこれらの新しい防御に適応しようとしています。Google は、情報窃取ツールが使用する手法と動作を継続的にモニタリングしています。
アプリに限定された暗号化が有効になって以来、Chrome リモート デバッグを使用して Cookie を抽出する攻撃者が増加しています。この方法で Chrome Cookie を盗むという問題は 2018 年から議論されています。ただし、最近のリモート デバッグ ポートの使用に関するブログ投稿や、Cookie を抽出するツールは、その人気が高まっていることを示す Google の内部データを裏付けています。Google は、こうした手法の阻止と攻撃者の制限に引き続き取り組み、攻撃のコストを引き上げ、Chrome ユーザーのセキュリティを保護します。
そのため、Chrome 136 より、--remote-debugging-port と --remote-debugging-pipe の動作を変更します。デフォルトの Chrome データ ディレクトリのデバッグを行う場合、これらのスイッチは考慮されなくなります。これらのスイッチには、標準以外のディレクトリを参照するように --user-data-dir スイッチを追加する必要があります。標準以外のデータ ディレクトリでは異なる暗号鍵が使用されるため、Chrome のデータは攻撃者から保護されます。
(VSCode などから)Chrome をデバッグする必要があるデベロッパー向けの手順では、カスタム ユーザーデータ ディレクトリの使用がすでに指定されています。デバッグと実際のプロファイルを分離するには、引き続きこの方法をおすすめします。
ブラウザの自動化シナリオでは、既存の動作を維持する Chrome for Testing の使用をおすすめします。
この新しいセキュリティ機能に関する問題は、crbug.com に報告してください。