図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

ブラウザクラッシャー(ブラクラ)とは?

投稿日:

ブラウザクラッシャーはブラクラとも言われており、WebブラウザやOSのバグや仕様を悪用したHTMLやJavascriptをWebページに組み込む事でユーザのパソコンに大量のポップアップ画面を表示したり、無限ループを実行させたりしてユーザのパソコンのCPUやメモリなどのリソースを枯渇させてWebブラウザ・OSをクラッシュさせる事を言います。

有名なブラウザクラッシャーのサイトとしてYou are an idiot(おまえは馬鹿だ)というサイトがり、そこにアクセスすると、大量のポップアップが表示されたり、大音量の音声ファイルが再生されたりして、画面を閉じようとしても画面がどんどん増え続けてしまいます。

最近の主要なWebブラウザは多くのブラウザクラッシャーに対しては対処済みでありますが、未対応のブラウザクラッシャーに対しては、Webブラウザをタスクマネージャー等から強制終了する必要があります。

mailtoストーム

mailtoストーム(メールトゥーストーム)はWebページを表示させると、パソコンのメーラーが起動して新規メール画面を大量に表示させます。そうする事でパソコンのリソースを枯渇してパソコンがフリーズします。

<html>
<head><title>mailtoストーム</title></head>
<body>
<img src=”mailto:001@testmail.abc”>
<img src=”mailto:002@testmail.abc”>
(大量に<img src=”mailto:XXX@testmail.abc”>を記述する)
:
:
</body>
</html>

上記のように大量に<img src=”mailto:XXX@testmail.abc”>を記述する事で、その分だけメーラーの新規メール画面が表示されます。

フルスクリーン

フルスクリーン型のブラウザクラッシャーはWebブラウザをツールバーなしの全画面表示にしてしまいます。つまり、パソコンに詳しくない方はWebブラウザのツールバーの「閉じる」ボタンがないので、Webブラウザの閉じ方が判らなくて困ってしまいます。

Webブラウザをフルスクリーンにするには

window.open(“about:blank”, “new”, “fullscreen=yes”)

このような記述をHTML内もしくはJavascriptを利用して組み込みます。

フルスクリーン型のブラウザクラッシャーはFirefoxのタブブラウザでは有効ではありません。またInternet Explorerでは「F11」ボタンを押すことでフルスクリーンを解除する事ができます。

ゾンビウィンドウ

ゾンビウィンドウ型のブラウザークラッシャーは、ポップアップ画面が表示される度に閉じても、そのポップアップ画面が何度も復活して表示されます。アダルトサイトなど広告が多い悪質なサイトで良く見かけられます。ゾンビウィンドウ型のブラウザクラッシャーを防ぐにはWebブラウザでポップアップのブロックを有効にしておくと良いでしょう。

JavaScriptループ

Javascriptなどのスクリプトを利用すると、ある一定のプログラムを無数に生成して実行する事ができます。これを悪用したのがJavaScriptループ型のブラウザクラッシャーです。JavaScriptループ型は他のブラウザクラッシャーと違いポップアップ画面等を表示しなくても内部でCPUのリソースを枯渇させることができます。

しかしながら、最近のWebブラウザではJavaScriptなどのスクリプトのループ回数を制限しているので、ユーザはあまり被害は受けません。

Telnetストーム

Telnetストーム型のブラウザクラッシャーは、HTML内にtelnetを起動させるコマンドを大量に記述する事で、DOS画面を大量に表示させます。

<iframe src=”telnet://sample.abc:80″></iframe>

上記のような記載をHTML内で大量に記載すると、DOS画面が大量に表示されますが、最近のWebブラウザでは有効でない場合がありますが、IEではまだ起動できるようです。

広告

広告

-図解サイバーセキュリティ用語

関連記事

ドロッパーとは? 図解サイバーセキュリティ用語

ドロッパーとはトロイの木馬の一種で、ユーザがドロッパーの実行ファイルを実行すると、ウィルスをシステムにドロップ(生成)します。ドロッパー自体は不正な活動を積極的には行いません。しかもドロッパーはウィル …

フィッシングメールとは 図解サイバーセキュリティ用語

最近良く聞く言葉の1つにフィッシングという言葉があります。会社でもセキュリティ部からアナウンスがあって「最近フィッシングメールが流行していますので、怪しいメールは絶対に開かないようにしてください。」と …

C2サーバ、C&Cとは 図解サイバーセキュリティ用語

C2サーバもしくはC&Cはコマンド&コントロールサーバの事です。C2サーバは攻撃者がユーザの端末に感染したマルウェアに対してコマンドを送信したり、マルウェア経由でユーザの端末のデータを受信したりする役 …

DoSとDDoS 図解サイバーセキュリティ用語

最近よくニュースで、企業のウェブサイトがDoS攻撃を受けてアクセス不能になった、といったような事を聞くと思います。ここではDoSおよびDDoS攻撃について説明します。 DoS攻撃 DoSとはDenia …

no image

危険なパスワード2017

調査会社のSplashDataが2017年の危険なパスワード100「Worst Passwords of 2017 Top 100」を公開しました。ひとまずランキング1位から10位を紹介します。 Ra …