図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

ブラウザクラッシャー(ブラクラ)とは?

投稿日:

ブラウザクラッシャーはブラクラとも言われており、WebブラウザやOSのバグや仕様を悪用したHTMLやJavascriptをWebページに組み込む事でユーザのパソコンに大量のポップアップ画面を表示したり、無限ループを実行させたりしてユーザのパソコンのCPUやメモリなどのリソースを枯渇させてWebブラウザ・OSをクラッシュさせる事を言います。

有名なブラウザクラッシャーのサイトとしてYou are an idiot(おまえは馬鹿だ)というサイトがり、そこにアクセスすると、大量のポップアップが表示されたり、大音量の音声ファイルが再生されたりして、画面を閉じようとしても画面がどんどん増え続けてしまいます。

最近の主要なWebブラウザは多くのブラウザクラッシャーに対しては対処済みでありますが、未対応のブラウザクラッシャーに対しては、Webブラウザをタスクマネージャー等から強制終了する必要があります。

mailtoストーム

mailtoストーム(メールトゥーストーム)はWebページを表示させると、パソコンのメーラーが起動して新規メール画面を大量に表示させます。そうする事でパソコンのリソースを枯渇してパソコンがフリーズします。

<html>
<head><title>mailtoストーム</title></head>
<body>
<img src=”mailto:001@testmail.abc”>
<img src=”mailto:002@testmail.abc”>
(大量に<img src=”mailto:XXX@testmail.abc”>を記述する)
:
:
</body>
</html>

上記のように大量に<img src=”mailto:XXX@testmail.abc”>を記述する事で、その分だけメーラーの新規メール画面が表示されます。

フルスクリーン

フルスクリーン型のブラウザクラッシャーはWebブラウザをツールバーなしの全画面表示にしてしまいます。つまり、パソコンに詳しくない方はWebブラウザのツールバーの「閉じる」ボタンがないので、Webブラウザの閉じ方が判らなくて困ってしまいます。

Webブラウザをフルスクリーンにするには

window.open(“about:blank”, “new”, “fullscreen=yes”)

このような記述をHTML内もしくはJavascriptを利用して組み込みます。

フルスクリーン型のブラウザクラッシャーはFirefoxのタブブラウザでは有効ではありません。またInternet Explorerでは「F11」ボタンを押すことでフルスクリーンを解除する事ができます。

ゾンビウィンドウ

ゾンビウィンドウ型のブラウザークラッシャーは、ポップアップ画面が表示される度に閉じても、そのポップアップ画面が何度も復活して表示されます。アダルトサイトなど広告が多い悪質なサイトで良く見かけられます。ゾンビウィンドウ型のブラウザクラッシャーを防ぐにはWebブラウザでポップアップのブロックを有効にしておくと良いでしょう。

JavaScriptループ

Javascriptなどのスクリプトを利用すると、ある一定のプログラムを無数に生成して実行する事ができます。これを悪用したのがJavaScriptループ型のブラウザクラッシャーです。JavaScriptループ型は他のブラウザクラッシャーと違いポップアップ画面等を表示しなくても内部でCPUのリソースを枯渇させることができます。

しかしながら、最近のWebブラウザではJavaScriptなどのスクリプトのループ回数を制限しているので、ユーザはあまり被害は受けません。

Telnetストーム

Telnetストーム型のブラウザクラッシャーは、HTML内にtelnetを起動させるコマンドを大量に記述する事で、DOS画面を大量に表示させます。

<iframe src=”telnet://sample.abc:80″></iframe>

上記のような記載をHTML内で大量に記載すると、DOS画面が大量に表示されますが、最近のWebブラウザでは有効でない場合がありますが、IEではまだ起動できるようです。

広告

広告

-図解サイバーセキュリティ用語

関連記事

異常検知 シグネチャ検知とアノマリー検知 図解サイバーセキュリティ用語

マカフィーやシマンテックなどのウィルス対策ソフトやSourceFireなどのIDS/IPS製品では異常検知を行う事によって、不正なトラフィックや悪意のあるコマンドを検知しています。異常検知には主にシグ …

DMZ(非武装地帯)とは?

DMZとはdemilitalized zoneの略で非武装地帯という意味があります。これは元々は軍事用語として使われており、戦争中もしくは停戦中である国家の間に設けられた地域で、そこでは協定によって軍 …

ブルートフォース攻撃(総当たり攻撃) 図解サイバーセキュリティ用語

ブルートフォース(brute force)とは「強引な」とか「力ずく」という意味で、ユーザのアカウント・パスワードを入手するため、もしくは暗号を解読するために考えられる全てのパターンを自動的に試す手法 …

短縮URLとセキュリティ問題

短縮URLとはオリジナルのURLにリダイレクトするように設定された文字数が短いURLの事を言います。例えば、https://www.cyber-attack.net/cyber-security-di …

WAF(ウェブアプリケーションファイアウォール)とは 図解サイバーセキュリティ用語

WAFはWeb Application Firewallの略で、Webサービスを攻撃から保護するためのシステムです。WAFはHTTP通信を分析して、悪意のあるコマンドやパラメータを含む通信をブロックし …