ブラウザクラッシャー

ブラウザクラッシャーとは

ブラウザクラッシャーとは、ウェブブラウザやオペレーティングシステム（OS）の仕様やバグを悪用するスクリプト言語やHTML文書を記述したウェブページのことです。これらのページにアクセスすると、ウェブブラウザやOSの動作に異常が発生し、最悪の場合、システムがフリーズしてしまうことがあります。「ブラクラ」と略称されることもあります。

ブラウザクラッシャーの概要

ブラウザクラッシャーは、ウェブブラウザで当該ページにアクセスすることにより、ウェブブラウザやOSの動作に異常を発生させます。「クラッシャー」はソフトウェアをクラッシュさせる動作を意味しており、ソフトウェアの構成やハードウェアに直接的な破壊的な影響を及ぼす場合もあります（FDDアタックなど）。

ブラウザクラッシャーの種類

ブラウザクラッシャーには、様々な種類があります。以下に代表的なものを紹介します。

HTML記述型

HTMLを不正な形で記述することで、ブラウザに不具合を起こさせるタイプです。JavaScriptが動作しない環境でも有効なため、脅威となります。

ウィンドウ無限表示型

最も有名なブラクラの一つで、該当のページにアクセスすると、新しいウィンドウを無限に開き続け、メモリ使用量を爆発的に増加させ、最悪の場合フリーズを引き起こします。ユーザーが一つでもウィンドウを閉じると、ねずみ算式にウィンドウが開くようになっている場合が多く、悪質なものはウイルスをダウンロードさせるなどの二次災害を引き起こすこともあります。

mailtoストーム

mailtoスキームを悪用し、電子メールの作成画面を大量に起動させ、コンピュータやブラウザをフリーズさせるタイプです。``タグでメール新規作成画面を開かせる際に、`href="mailto:~"`と記述し、このリンクをクリックすると、ブラウザに設定されたメールクライアントが起動します。これにより、メール作成画面が大量に開かれます。

FDDアタック・CD-ROMアタック

fileスキームを悪用し、フロッピーディスクドライブ(FDD)へのアクセスを繰り返したり、CD-ROMドライブが開閉を繰り返すなど、周辺機器にアクセスさせるマークアップを多数記述し、ブラウザの反応を遅くします。特にFDDへのアクセスは機器への負担が大きく、物理的な影響を与える可能性があります。

テーブルネスト

``タグの中に``タグを入れ、さらにその中に``タグを入れるというように、意図的に深くネスティングさせることで、古いブラウザをフリーズさせるタイプです。

conconクラッシャー

conconバグと呼ばれるバグを利用したもので、Windowsの予約デバイスに関する不具合を持つファイル名やフォルダ名（CON, AUX, NULなど）にアクセスさせ、OSを停止させます。

Telnetストーム

サーバとの通信に使われるtelnetサービスを悪用し、DOS画面に似たプロンプトを開くタイプです。

JavaScript記述型

クライアントサイドのスクリプトであるJavaScriptを悪用したタイプです。HTML記述型と複合させたものもあります。JavaScriptが動作しない環境では作動しません。

JavaScriptループ型

JavaScriptで処理を無限にループさせることで、CPU使用率を100%にし、パソコンの動作を非常に鈍くさせたり、フリーズさせたりします。

ウィンドウ無限表示型（JavaScript）

HTML記述型と同様の効果を持ちますが、JavaScriptで実装されます。最近のブラウザにはポップアップブロックが標準装備されているため、実行されにくくなっています。

無限アラート

アラートを多数回または無限に開かせ、ブラウザの操作を不能にするタイプです。アラートはダイアログボックスとして最前面に表示されるため、メッセージボックスが表示されている間は操作ができません。

×ストーム

画像を表示できなかった時の×マークを大量に表示させ、フリーズさせるタイプです。

フルスクリーン化

ブラウザをツールバーなしの全画面表示にしてしまうタイプです。

ゾンビウィンドウ

何度閉じても復活するウィンドウのことを言い、消した数よりも開くウィンドウが多い場合もあります。悪質なポップアップ広告にしばしば使われます。

その他のブラウザクラッシャー

JavaScript実装のバグをついたものや、WindowsのNTFSのバグを利用したものなど、様々なタイプのブラウザクラッシャーが存在します。

I'm Feeling Lucky ブラクラ

Googleの「I'm Feeling Lucky」ボタンを悪用したブラクラです。検索結果のトップにブラクラサイトが表示されるような検索語を仕掛け、クリックしたユーザーをブラクラに誘導します。

ブラウザクラッシャーへの対策

ブラウザクラッシャーへの対策は、以下の通りです。

プロセスの強制終了:
Windows: Ctrl + Alt + Delete キーでタスクマネージャーを開き、ウェブブラウザのプロセスを終了します。
macOS: command + option + esc キーでアプリケーションの強制終了を開き、ウェブブラウザを強制終了します。
Unix系OS: psコマンドでウェブブラウザのPIDを調べ、killコマンドでプロセスを終了します。
「新しいウィンドウで開く」設定を「新しいタブで開く」設定に変更する:
タブブラウザを使用することで、複数のウィンドウが同時に開くのを防ぎます。
電源を切って再起動する:
最終手段として、コンピュータを再起動します。
メール作成画面の同時表示個数に上限を設定する:
メールクライアント側で対策を行います。
ソースコードを確認する:
URLの前に`view-source:`を付けてソースコードを確認し、怪しい記述がないか確認します。
オンラインのソースチェッカーを利用することも有効です。
ポップアップブロックを設定する:
ブラウザの設定でポップアップを無効にします。
JavaScriptを無効にする:
JavaScriptを無効にすることで、JavaScriptを利用したブラクラを回避できます。
怪しいリンクをクリックしない:
特に「I'm Feeling Lucky」ボタンを使ったリンクには注意が必要です。

ブラクラを踏まないようにするための対策

タブブラウザを使用する
アクセス前にソースを確認する
JavaScriptを切り、ブラクラチェッカーやソースチェッカーなどで調べる
リンク先をファイルにダウンロードし、ソースコードを調べる
ブラウザの設定でポップアップを無効にする

精神的ブラクラ

「精神的ブラクラ」とは、閲覧者に精神的な不快感を与えるグロ系や恐怖系の画像・音声・動画に、それと気づかないようにアクセスさせるものです。ブラウザやコンピュータ自体に影響はありませんが、悪意を持って対象のURLをクリックさせることがブラクラと共通しているため、このように呼ばれます。「マインドクラッシャー」「マイクラ」とも呼ばれます。

まとめ

ブラウザクラッシャーは、Webブラウザの脆弱性を悪用した危険な攻撃です。しかし、その仕組みを理解し、適切な対策を講じることで、被害を最小限に抑えることができます。安全なWeb閲覧のために、この記事で紹介した対策をぜひ実践してください。