UnsplashのChoong Deng Xiangが撮影した写真      

ブラウザクラッシャーとは？仕組み・主な手口・対策を解説

ブラウザクラッシャーは、ページを開いた人のブラウザを固めたり落としたりする手口です。急に画面が止まる、入力が消える、作業が中断するといった困りごとを起こします。ここでは、仕組み、主な型、対策、企業への影響を順に見ていきます。

• 何をする手口か：ブラウザやタブを重くし、止めたり落としたりする
• 主な型：リソースを使い切らせる型、無限ループの型、脆弱性を突く型
• 対策の軸：ブラウザを新しい版に保つ、設定を見直す、運営側で不正スクリプトの混入を防ぐ

ブラウザクラッシャーとは何か

ブラウザクラッシャーは、Webブラウザを止めたり固めたりする手口です。ページを開いただけで操作しにくくなったり、ウィンドウが増え続けたりして、利用をじゃまします。

多くは、悪意のあるJavaScript、HTML、CSS、細工したファイルなどで、ブラウザを急に重くします。狭い意味では迷惑行為の一つですが、端末全体まで重くなることもあります。

ブラウザクラッシャーの仕組み

よくある流れは次の通りです。

1. 攻撃者が、ブラウザを重くしやすいコードやデータを用意する。
2. それをページ、広告枠、外部スクリプト、URL、ファイルなどで見せる。
3. 利用者がページやファイルを開くと、コードが動く。
4. CPUやメモリが使われ、ページやタブが止まる。

今のブラウザはタブやプロセスを分けて動かすものが多く、あるページが落ちても他のタブまで巻き込みにくくなっています。ただし、入力中の内容が消える、作業が止まる、といった困りごとは残ります。

ブラウザクラッシュが引き起こす問題点

ページやタブが落ちると、入力途中の内容が消えたり、手続きをやり直したりする必要が出ます。業務で使う画面なら、手間が増え、作業も止まります。

同じサイトで何度も起きると、そのサービス自体を避ける利用者も出ます。企業側では、売上の取りこぼしや印象の悪化にもつながります。

ブラウザクラッシャーの歴史と進化

初期のブラウザは、無限ループや大量のウィンドウ生成だけでも止まりやすい時期がありました。今は、プロセス分離やサンドボックス化が進み、被害を一つのタブやページにとどめやすくなっています。

ただし、重いJavaScriptや脆弱性の悪用でページが応答しなくなることは今でもあります。ブラウザによっては、応答しないページを待つか終了するかを利用者に選ばせる実装もあります。

主な手口

ブラウザクラッシャーにはいくつかの型があります。共通するのは、ブラウザの負荷を急に上げるか、実装の弱い部分を突く点です。

リソースを使い切らせる型

メモリやCPUを急に多く使わせて、ページやタブを重くする型です。たとえば、次のような動きが使われます。

• 大量のJavaScriptを同時に動かす
• 大きな画像や動画をまとめて読み込ませる
• 大量のDOM要素を作り続ける

作りやすい反面、利用者から見れば明確な妨害です。

無限ループの型

JavaScriptのwhile文やfor文に終わりのないループを入れ、CPUを占有する型です。メインスレッドが長くふさがると、入力にも描画にも応答しにくくなります。

ページが応答しなくなると、ブラウザは待つかそのページを終了するかを促すことがあります。とはいえ、一時的なフリーズやタブの終了は起こり得ます。

脆弱性を突く型

ブラウザやブラウザエンジンにある既知の脆弱性を突き、異常な動きやクラッシュを起こす型です。単に止まるだけでなく、条件次第ではコード実行や情報の持ち出しにつながるおそれもあります。

• バッファオーバーフロー
• 入力値の確認不足によるメモリ破損
• Use-after-freeのようなメモリ管理の不具合

この型は検証環境や深い知識が要るため、より技術のある攻撃者が使うことが多くあります。

そのほかの手口

ほかにも、次のような形があります。

• ポップアップを大量に開こうとする。今のブラウザは、利用者の操作なしの連続ポップアップを止めることが多いものの、迷惑な表示として使われることはあります。
• 不正なHTMLやCSSで描画を不安定にする
• 細工したフォント、画像、圧縮形式で不具合を引き出す

一つだけでは致命的でなくても、他の攻撃と組み合わさると混乱を広げやすくなります。

対策

対策は、利用者側と運営側の両方で考える必要があります。

ブラウザを新しく保つ

まず大事なのは、使っているブラウザを新しい版に保つことです。開発元は、既知の脆弱性やクラッシュにつながる不具合を修正し続けています。古い版を使い続けると、直された弱点が残ったままになります。

企業では、どのブラウザをどの版で使うかを管理し、更新のルールを決めておく必要があります。

設定を見直す

設定の見直しも有効です。次の点を確認します。

• 不要な拡張機能を止めるか削除する
• ポップアップの設定を見直す
• サイト権限を見直し、不審な動きを許しにくくする
• Cookie や外部サイトの読み込み設定を、業務に合わせて見直す

ただし、制限を強くし過ぎると業務に要る機能まで使えなくなります。必要なサイトとの兼ね合いを見ながら決めます。

怪しいサイトへ行かない

怪しいサイトや出所のはっきりしないリンクを避けることも基本です。企業ネットワークではURLフィルタリングやカテゴリ単位の制御を使い、危険性の高いサイトへ行きにくくします。

あわせて、不審なリンクや添付ファイルをすぐに開かない、出所不明のページでスクリプトの実行を安易に許さない、といった教育も続ける必要があります。

運営側の対策

サイトの運営側でも対策は欠かせません。自社サイトが不正スクリプトの配信元にならないようにします。

• 入力値を確認し、スクリプト注入を防ぐ
• CMSやライブラリを新しい状態に保つ
• WAF で不審な要求を止める
• 定期的に診断やペネトレーションテストを行う

さらに、ログと監視を整え、改ざんや不正スクリプトが入ったときに早く見つけられるようにします。

企業への影響

業務が止まる

業務でブラウザベースの画面を使っていると、多くの利用者が同時にブラウザを使えなくなっただけで、実際には業務が止まります。

オンラインショップ、金融機関、SaaS 型の業務アプリでは、停止時間がそのまま売上や受付機会の減少につながります。

作業の速さが落ちる

ブラウザが落ちると、入力中の内容が消え、再起動や再ログインも必要になります。これが続くと、作業の進み方そのものが悪くなります。

また、特定のページに近づきたくないという心理も生まれ、使うべきサービスや社内画面が活用されにくくなります。

信頼が下がる

自社サイトが原因でブラウザが何度も落ちると、利用者はその会社の技術や安全性に不安を持ちます。とくに金融、医療、公共のように安定性が重く見られる分野では、その影響が大きくなります。

障害をどう知らせるか、どう復旧したかをどう見せるかも、信頼を守るうえで重要です。

軽く見ない

ブラウザクラッシャーは古い手口に見えますが、今でも無視できません。ブラウザやOSの更新を後回しにしないこと、開発側が性能や入力値の確認を軽く見ないこと、連絡と復旧の流れを決めておくことが大切です。

まとめ

ブラウザクラッシャーは、利用者のブラウザを重くしたり止めたりする手口です。利用者側では更新、設定の見直し、危ないサイトを避けることが基本になります。運営側では入力値の確認、更新、WAF、診断、監視が要ります。

要は、ブラウザが落ちるだけと軽く見ないことです。業務が止まる、売上を失う、信頼が下がる、といった形で企業にも返ってきます。

自社の利用環境と運営体制を見直し、ページやタブが落ちても業務を続けられるかを確認しておくと、被害を小さくしやすくなります。