「C4攻撃」とは、Google Chromeがローカル環境(PC・スマートフォンなど)に保存しているCookie情報を盗み出し、解読するサイバー攻撃のことで、C4は「Chrome Cookie Cipher Cracker」の略称です。C4攻撃は、一般ユーザー権限だけで暗号化されたCookieを復号できる点で、従来のセキュリティ対策を根本的に揺るがしています。本記事では、C4攻撃の仕組みやそれがもたらす脅威、対策について解説します。
C4攻撃とは
「C4攻撃」は、Googleが提供するWebブラウザ「Chrome」の最新セキュリティ機能「Application-Bound(App-Bound)Encryption」を回避する攻撃手法です。2025年6月にサイバーセキュリティ企業「CyberArk」の研究者によって発表されました。C4攻撃という名称は、強力な爆薬として知られる「C4プラスチック爆弾」を想起させるもので、Chromeのセキュリティ防御を「爆破」するという意味が込められています。
C4攻撃が注目される理由
C4攻撃が注目される理由は、従来のマルウェア対策では防ぐことが難しい、新しいタイプの脅威であるためです。
通常、コンピュータに侵入してセキュリティ機能を突破するには、管理者権限(Admin権限)を必要とします。しかし、C4攻撃は一般ユーザー権限のみで実行できる点で、他とは一線を画す攻撃です。
つまり、攻撃者は苦労して管理者権限を取得することなく、一般ユーザーで侵入した状態のままで、暗号化されたCookie情報を盗み取ってしまいます。C4攻撃は、情報窃取型マルウェアに対抗するためにGoogleが導入した最新の防御機能を無効化してしまうことから、Webセキュリティ分野に大きな衝撃を与えました。
Cookieには会員サイトのログイン情報やショッピングサイトのカート情報など、重要な個人情報が含まれているため、C4攻撃の影響は深刻です。
C4攻撃が無効化する「App-Bound Encryption」とは
C4攻撃の仕組みを理解するためには、まずGoogleが2024年7月に導入した「App-Bound Encryption」というセキュリティ機能について知る必要があります。
従来のChromeでは、Cookieは暗号化によって保護されていました。しかし、近年の「Infostealer(インフォスティーラー)」と呼ばれる情報窃取型マルウェアでは、容易にCookieを復号できてしまいます。そこでGoogleは、Cookieの復号をChromeなど特定のアプリケーションにのみ許可する新しい仕組みApp-Bound Encryptionを導入しました。
App-Bound Encryptionでは、CookieはWindows標準の暗号化API(DPAPI:Data Protection API)を使用して暗号化され、さらにChrome専用の特別な「鍵」と結び付けられます。また、マルウェア側は管理者権限の取得とChromeに直接コードを入力する必要があるため、理論的には正規のChromeブラウザ以外からは、暗号化されたCookieの復号はできないはずでした。
App-Bound Encryptionの弱点
しかし、App-Bound Encryptionには設計上の弱点がありました。
システムが暗号化の処理を行う際に生成される「エラーメッセージ」や「イベントログ」に、暗号を解くための手がかりとなる情報が含まれていたのです。これらの情報は本来、システム管理やデバッグのために生成されます。しかし、C4攻撃では、その情報を巧妙に利用することで暗号化の仕組みを逆算し、最終的にCookieの解読に成功しました。
C4攻撃の仕組み
C4攻撃の核となるのは、「パディングオラクル攻撃」と呼ばれる古典的な技術です。
パディングオラクル攻撃では、暗号化システムが出力するエラーメッセージの違いを利用して、元の暗号文を解読します。「パディングオラクル」とは、復号した平文を直接返すことはないものの、暗号文のパディング(データの詰め物)が正しくない場合にエラーメッセージを返すオラクルのことです。「オラクル」とは、質問に対して答えを返す存在という意味で、システムが返すエラーメッセージが実行している処理の正否に関する情報を攻撃者に与えてしまう通知、つまり「オラクル(神託)」の役割を果たします。
攻撃者はさまざまな暗号文の断片をシステムに送り込み、その際に返されるエラーメッセージのパターンを分析することで、正しい暗号文の構造を推測していくのです。これは、金庫のダイヤルを少しずつ回し、カチッという音のわずかな違いを聞き分けて正解の番号を探り当てる作業に似ています。
C4攻撃は、このパディングオラクル攻撃の手法を巧妙に利用しました。パディングオラクル攻撃を実行するためには、平文の末尾を予測可能な方法で変更する能力と、パディングオラクルが必要です。改変した暗号文をパディングオラクルに繰り返し送信し、オラクルの応答結果を解析して改変内容の調整を重ねていきます。
次に攻撃者が行うのは、Windowsのイベントログシステムの監視です。DPAPIが暗号化や復号の処理を行う際、正常な復号が行われた場合とエラーが発生した場合では、ログに記録される情報のパターンが異なります。攻撃者はこの違いを検知し、大量の試行を繰り返すことで、最終的にCookieの復号キーを特定することができるのです。
C4攻撃がもたらす脅威
C4攻撃が成功した場合、攻撃者はCookieを復号し、そこから得られる情報の悪用が可能です。例えば、以下のような被害を受ける可能性があります。
- SNSやWebメールへの不正ログイン:CookieにセッションIDが記憶されている場合、ユーザーのアカウントに直接ログイン可能です。
- 企業アカウントの乗っ取り:企業の管理者アカウントなどが標的になると、大規模な情報流出が発生したりやランサムウェア攻撃を受けたりするリスクがあります。
- 多要素認証の回避の可能性:Cookieにログイン状態が保持されていれば、多要素認証を回避して侵入されることもあります。
C4攻撃が恐ろしいのは、「パスワードが盗まれなくても、アカウントが乗っ取られる」という点です。被害に気づきにくく、発覚が遅れる危険性もあります。
C4攻撃への対策
2025年7月時点では、GoogleはC4攻撃に対して部分的な対策を実装していますが、デフォルトでは無効化されており、完全な修正は今後リリースされる見込みです。一方、Microsoftは2025年4月に、イベントログを利用したパディングオラクル攻撃による脆弱性を、「悪用は限定的」として修正対象外と判断しました。
個人や組織では、現在のところC4攻撃への完全な対策は限られますが、以下のような取り組みが有効です。
- OS・ブラウザ・セキュリティソフトは常に最新に保つ
- ブラウザのCookieやキャッシュを定期的にクリアする
- ネットワーク監視を強化し、異常な通信や不審な動作を早期に検知する
C4攻撃は、「便利な機能の裏に潜むリスク」を突いた攻撃です。C4攻撃のような新しい脅威に対抗するためには、まずはその仕組みを理解し、適切に対策することが求められます。
