図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

ブラウザクラッシャー(ブラクラ)とは?

投稿日:

ブラウザクラッシャーはブラクラとも言われており、WebブラウザやOSのバグや仕様を悪用したHTMLやJavascriptをWebページに組み込む事でユーザのパソコンに大量のポップアップ画面を表示したり、無限ループを実行させたりしてユーザのパソコンのCPUやメモリなどのリソースを枯渇させてWebブラウザ・OSをクラッシュさせる事を言います。

有名なブラウザクラッシャーのサイトとしてYou are an idiot(おまえは馬鹿だ)というサイトがり、そこにアクセスすると、大量のポップアップが表示されたり、大音量の音声ファイルが再生されたりして、画面を閉じようとしても画面がどんどん増え続けてしまいます。

最近の主要なWebブラウザは多くのブラウザクラッシャーに対しては対処済みでありますが、未対応のブラウザクラッシャーに対しては、Webブラウザをタスクマネージャー等から強制終了する必要があります。

mailtoストーム

mailtoストーム(メールトゥーストーム)はWebページを表示させると、パソコンのメーラーが起動して新規メール画面を大量に表示させます。そうする事でパソコンのリソースを枯渇してパソコンがフリーズします。

<html>
<head><title>mailtoストーム</title></head>
<body>
<img src=”mailto:001@testmail.abc”>
<img src=”mailto:002@testmail.abc”>
(大量に<img src=”mailto:XXX@testmail.abc”>を記述する)
:
:
</body>
</html>

上記のように大量に<img src=”mailto:XXX@testmail.abc”>を記述する事で、その分だけメーラーの新規メール画面が表示されます。

フルスクリーン

フルスクリーン型のブラウザクラッシャーはWebブラウザをツールバーなしの全画面表示にしてしまいます。つまり、パソコンに詳しくない方はWebブラウザのツールバーの「閉じる」ボタンがないので、Webブラウザの閉じ方が判らなくて困ってしまいます。

Webブラウザをフルスクリーンにするには

window.open(“about:blank”, “new”, “fullscreen=yes”)

このような記述をHTML内もしくはJavascriptを利用して組み込みます。

フルスクリーン型のブラウザクラッシャーはFirefoxのタブブラウザでは有効ではありません。またInternet Explorerでは「F11」ボタンを押すことでフルスクリーンを解除する事ができます。

ゾンビウィンドウ

ゾンビウィンドウ型のブラウザークラッシャーは、ポップアップ画面が表示される度に閉じても、そのポップアップ画面が何度も復活して表示されます。アダルトサイトなど広告が多い悪質なサイトで良く見かけられます。ゾンビウィンドウ型のブラウザクラッシャーを防ぐにはWebブラウザでポップアップのブロックを有効にしておくと良いでしょう。

JavaScriptループ

Javascriptなどのスクリプトを利用すると、ある一定のプログラムを無数に生成して実行する事ができます。これを悪用したのがJavaScriptループ型のブラウザクラッシャーです。JavaScriptループ型は他のブラウザクラッシャーと違いポップアップ画面等を表示しなくても内部でCPUのリソースを枯渇させることができます。

しかしながら、最近のWebブラウザではJavaScriptなどのスクリプトのループ回数を制限しているので、ユーザはあまり被害は受けません。

Telnetストーム

Telnetストーム型のブラウザクラッシャーは、HTML内にtelnetを起動させるコマンドを大量に記述する事で、DOS画面を大量に表示させます。

<iframe src=”telnet://sample.abc:80″></iframe>

上記のような記載をHTML内で大量に記載すると、DOS画面が大量に表示されますが、最近のWebブラウザでは有効でない場合がありますが、IEではまだ起動できるようです。

広告

広告

-図解サイバーセキュリティ用語

関連記事

UEBA(User and Entity Behavior Analytics)とは?

UEBAとはUser and Entity Behavior Analyticsの略で、ユーザやシステムの振る舞いを機械学習する事で、ユーザ/システムの異常な振る舞いや不正な活動を検知する分析技術の事 …

フィッシングメールとは 図解サイバーセキュリティ用語

最近良く聞く言葉の1つにフィッシングという言葉があります。会社でもセキュリティ部からアナウンスがあって「最近フィッシングメールが流行していますので、怪しいメールは絶対に開かないようにしてください。」と …

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングとは、個人の情報や企業情報などをコンピュータやネットワーク経由で入手するのではなく、物理的な手段もしくは心理的な手段によって入手する事を言います。ソーシャルエンジニアリングは …

スパムメールの由来・語源とは?

スパムメールとは、宣伝目的のメールを無差別かつ大量に送信されるメールの事を言います。スパムメールは皆さんの個人のメールにも会社のメールにも送信されており、世界で送信されているメールの70%ほどがスパム …

DNSキャッシュポイズニング 図解サイバーセキュリティ用語

DNSキャッシュポイズニングとはDNSサーバのキャッシュ情報に不正なIPとそのホスト名を挿入することによって、ユーザを不正なホスト名を持つウェブサイトに誘導する攻撃を指します。最終的な目的は、その誘導 …