ブラウザを介したプライバシー侵害の手口は後を絶たないが、また新たな攻撃手法が研究者によって明らかになった。セキュリティメディアのArs TechnicaがDan Goodin氏の署名記事として2026年5月27日に報じたところによれば、JavaScriptのみでSSD(ソリッドステートドライブ)のI/Oタイミングを計測し、訪問者が他のタブやデバイス上で何を開いているかを特定できる攻撃手法「FROST」が研究論文として公開された。
FROSTとは──OPFS経由のSSD競合サイドチャネル
FROSTは「Fingerprinting Remotely using OPFS-based SSD Timing」の略だ。攻撃の核心は競合サイドチャネルと呼ばれる古典的な手法にある。複数プロセスが同一のリソース(ここではSSD)を取り合う際に生じる微妙なレイテンシを計測することで、他のタブやアプリが何であるかを推測する。
Ars Technicaの報告によれば、この攻撃が特筆される理由は「ブラウザ内のJavaScriptだけで完結する」点にある。OPFS(Origin Private File System)と呼ばれるブラウザAPIを利用し、特定サイト用に割り当てられたストレージ領域へのI/Oタイミングを継続的に計測する。OPFSはサンドボックス化されており他サイトやOSから隔離されているが、そのタイミング情報自体は読み取り可能なままだという。
海外レビューのポイント
Ars TechnicaのDan Goodin氏の解説によると、FROSTの動作フローは次のとおりだ。
攻撃の仕組み:
- 訪問者の操作なしにOPFSファイルを自動作成・利用
- 大容量OPFSファイルへのランダム読み取りを繰り返し、SSD応答時間を継続計測
- 計測トレースを事前学習済みの畳み込みニューラルネットワーク(CNN)に通して分類
- 別ブラウザで開いているサイトや、デバイス上で起動中のアプリを特定
制限事項(報告より):
- OPFSファイルは1GB以上の大容量が必要なため、大規模展開では多くのユーザーに検知されうる
- 訪問者と同一のSSD上にファイルが存在する必要があり、外付けストレージ環境では機能しない
現状、攻撃の精度や対象ブラウザの詳細は論文全文待ちだが、Chrome・Edge・FirefoxなどOPFSをサポートするすべての主要ブラウザが潜在的な対象となりうる。
日本市場での注目点
直接購入できる製品ではないが、日本のエンジニア・セキュリティ担当者にとっていくつかの実務的な示唆がある。
企業セキュリティへの影響: OPFSはWebアプリのパフォーマンス向上を目的に設計された機能だが、今回のような悪用事例が公表された。CSP(Content Security Policy)の運用見直しや、ゼロトラスト環境でのブラウザポリシー再評価を検討する価値がある。
緩和策: 研究者はブラウザベンダー側でのI/Oタイミング情報へのアクセス制限を提言している。ユーザー側では、機密作業を信頼できないサイトと同一セッションで行わない、広告ブロッカーや拡張機能でスクリプト実行を制御するといった運用が有効だ。
筆者の見解
FROSTが示しているのは「ブラウザが汎用アプリケーションプラットフォームになるほど、攻撃面も比例して広がる」という構造的な問題だ。論文著者も指摘するように、Google・Microsoft・Adobeが本格的なオフィスアプリをブラウザ上で展開してきた結果、ブラウザに求められるOSレベルのリソース管理能力は格段に増した。その副作用として、今回のようなサイドチャネルの「すき間」が生まれる。
Chromiumを主導するGoogleと、Edgeを抱えるMicrosoftにとって、これはブラウザエンジン層での根本的な対処が求められる課題だ。タイミング情報に意図的なノイズを加えるといった緩和策は比較的実装しやすいはずで、両社がどのタイムラインで対応するかが焦点になる。MicrosoftはEdgeのセキュリティ機能に積極的に投資してきた実績があるだけに、早期の対応を期待したい。
もう一点見逃せないのが、CNNを攻撃に組み込んでいる点だ。手書きのルールベースではなくAIによるパターン分類を使うことで、攻撃精度が劇的に向上している。プライバシー保護側でも同様のAI活用による検知・遮断機構の開発が急務であり、攻防ともにAI活用が前提になりつつあることを改めて実感させられる事例だ。
出典: この記事は Websites have a new way to spy on visitors: analyzing their SSD activity の内容をもとに、筆者の見解を加えて独自に執筆したものです。