ウェブサイトはこれまで長年にわたり、ブラウザフィンガープリンティング、トラッキングスクリプト、その他デバイスの識別や行動監視を目的とした手法を通じて、訪問者に関する情報を収集してきた。研究者たちは、ほとんどのユーザーがウェブサイトに観察されるとは思いもよらないもの、すなわちアプリケーションやファイルが保存されているストレージデバイスであるSSD(ソリッドステートドライブ)上の動作に依存する、別の手法を実証した。
OPFSベースのSSDタイミングを利用したリモートフィンガープリンティング(Fingerprinting Remotely using OPFS-based SSD Timing)を略してFROSTと名付けられたこの手法は、ウェブサイトがユーザーのシステム上でアクティブなウェブサイトやアプリケーションに関する情報を推測することを可能にする。
ブラウザ機能が攻撃ベクターに
FROSTはサイドチャネル攻撃の一種であり、システムが生成する間接的なシグナルから情報を抽出する攻撃カテゴリに属する。この場合、シグナルはSSD競合から生じる。SSD競合とは、複数のプログラムが同一のストレージデバイスへのアクセスを奪い合う際に発生する現象だ。
FROST攻撃の概要(出典:研究論文)
その競合によって生じるタイミングの差を計測することで、ウェブサイトはシステム上の他の場所で発生しているアクティビティに関する情報を収集できる。
従来のSSDベースのサイドチャネル攻撃は、デバイス上で直接動作するソフトウェアを必要としていた。FROSTはその攻撃をブラウザ内に持ち込む。
この手法はOrigin Private File System(OPFS)に依存している。OPFSはブラウザの機能であり、ウェブサイトがデータをローカルに保存するための専用のサンドボックスストレージ領域を提供する。著者らによれば、本研究はブラウザ内で動作するJavaScriptを通じてOPFSを悪用し、被害者のシステムから情報を漏洩させる攻撃を初めて実証したものだという。
ユーザーは攻撃コードをホストするウェブページを訪問するだけでよい。マルウェア、ブラウザ拡張機能、昇格された権限、ソフトウェアのインストールはいずれも不要だ。
著者らはまた、同じ仕組みをSSD競合を通じた通信チャネルの確立にも利用できることを実証した。
研究者らは、今回の発見がウェブブラウザの利用方法における広範な変化を反映していると述べている。
「ウェブブラウザは、単純なドキュメントビューアから、高度なアプリケーションを実行できる複雑なプラットフォームへと進化してきた。GoogleやMicrosoft、Adobeといった企業は、完全なオフィススイート、写真・動画編集ソフト、さらにはブラウザ内で完結する統合開発環境(IDE)までも開発している」と論文の著者らは記している。
「アプリケーションをウェブに移行することで、プラットフォームに依存せず、アクセスしやすく、常に最新の状態を保つことが可能になる。しかしこの移行は、新たなセキュリティおよびプライバシー上の課題ももたらす」と付け加えた。
制限事項と緩和策
この手法にはいくつかの実際的な制限がある。長時間の計測には大きなOPFSファイルが必要となり、かなりの量のストレージスペースを消費する可能性がある。利用可能なディスク容量を監視しているユーザーは、攻撃に関連する異常なストレージ使用に気づくことができるかもしれない。
FROSTはまた、監視対象のアクティビティが同じSSD上で発生していることにも依存する。OPFSファイルはブラウザのデフォルトの場所に保存されるため、ウェブサイトのフィンガープリンティングはこの要件の影響を受けにくい。一方、アプリケーションのフィンガープリンティングは、ワークロードごとに別々のドライブを使用するシステムでは信頼性が低下する可能性がある。
この攻撃はデバイスに保存されたファイルへの直接アクセスを提供するものではなく、ブラウザのサンドボックス保護をバイパスするものでもない。
論文ではいくつかの緩和策が論じられている。OPFSを通じて利用可能なストレージ量の制限、ウェブサイトに提供されるタイミング情報の精度の低下、ウェブサイトが異常に大量のデータを保存した際のユーザーへの警告などが含まれる。
今回の発見は、公表前にGoogle、Mozilla、Appleに責任ある開示が行われた。Chromiumチームは、フィンガープリンティング攻撃をセキュリティ上の脆弱性とは見なさないと表明した。Appleは攻撃を対象範囲外と判断したが、将来的に緩和策が実装される可能性があると示唆した。Mozillaは発見内容を認めたものの、公表時点では緩和策を実装していなかった。
翻訳元: https://www.helpnetsecurity.com/2026/05/29/website-tracking-ssd-activity-research/
