この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。出典を追加して記事の信頼性向上にご協力ください。（このテンプレートの使い方）
出典検索?: "ブラウザクラッシャー" ? ニュース ・ 書籍 ・ スカラー ・ CiNii ・ J-STAGE ・ NDL ・ dlib.jp ・ ジャパンサーチ ・ TWL（2020年11月）

この記事には独自研究が含まれているおそれがあります。問題箇所を検証し出典を追加して、記事の改善にご協力ください。議論はノートを参照してください。（2022年8月）

ブラウザクラッシャーとは、ウェブブラウザやオペレーティングシステム (OS) の仕様・バグを悪用するスクリプト言語または HTML 文書を記述したウェブページのこと。
概要

ウェブブラウザで当該ページにアクセスすることにより、ウェブブラウザや OS の動作に異常を発生させる。「クラッシャー」はソフトウェアをクラッシュ[1]させる動作を意味している。ソフトウェアの構成やハードウェアに直接の破壊的な影響を及ぼす場合もある（FDDアタックなど）。

日本語では「ブラクラ」と略称されることもある。
HTML 記述型

HTML を不正な形で記述することによってブラウザに不具合を起こさせる。JavaScript が動作しない環境でも動作するため脅威となる。
ウィンドウ無限表示型「crashme」および「You are an idiot」も参照

このタイプのブラクラが最も有名なブラクラであるといえる。このブラクラは「JS_SPAWN.A」と呼ばれ、該当のページにアクセスすると、新しいウィンドウを無限に開き続けることで、メモリの使用量が爆発的に増加し、最悪の場合フリーズする。

ユーザーがウィンドウを一つでも閉じると、ウインドウがねずみ算式に開かれる様になっている場合がほとんどである。トロイの木馬として分類されている場合があるが、ファイルやレジストリなどの改変を行わないものが大半である。しかし、悪質なものになると単にブラクラとして動作するだけでなく、ウイルスをダウンロードさせるなどの二次災害を引き起こすサイトもある。

対応策

プロセスを強制終了する。

Windowsでは Ctrl + Alt + Delete キーで、タスクマネージャを開き、「プロセス」タブでウェブブラウザを終了する。このとき終了するプロセスは、Internet Explorerの場合は「iexplore.exe」、Mozilla Firefoxを使用している場合は「firefox.exe」である（Windows 9x系OSの場合、「強制終了の選択」というダイアログが表示されるので、そこから使用しているブラウザをクリックして強制終了する）。また、AltキーとF4キーを連打することでもwindowsの場合は解消できる、

macOSでは、command + option + esc キーでアプリケーションの強制終了を開き、ウェブブラウザを強制終了する。

Unix系OSでは ps コマンドでウェブブラウザのPIDを調べ、killコマンドでプロセスを終了する。


「新しいウィンドウ」ではなく、「新しいタブで開く」設定に変更する（タブブラウザ、タブブラウジングの場合）。

最終手段として、電源を切って再起動させる。

mailto ストーム（メイルトゥストーム）

上記と似たタイプのブラクラである。mailtoスキームを悪用して電子メールの作成画面を起動するマークアップを大量に記述し、メール作成画面を大量に開かせる。結果、閲覧者のコンピュータやブラウザを過度のリソース消費によりフリーズさせる。タグでメール新規作成画面を開かせる際、<a href="mailto:~">と書き、このリンクをクリックすると、ブラウザに設定されたメールクライアントが起動する。これがmailtoストームの名前の由来である。

防御策

メール作成画面の同時表示個数に上限を設定できる電子メールクライアントを使用するか、ブラウザで使用する標準メールソフトを設定しない。

"F12" キーを押して開発者ツールを起動してソースを確認し、img タグの src 属性に "mailto:" が含まれていないか注意する。

ただし、一部の環境では F12 をつけても開発者ツールが起動できないためオンラインのソースチェッカーを使用するなど別の方法を用いる必要がある。

電子メールクライアント側で対策（メール作成画面に上限を設けるなど）されていることも多い。

mailtoストームに類似する誤作動

mailtoによって起動するメールクライアントを未設定にしていた場合、ブラウザがmailtoによって起動するアプリケーションを探すが、設定していないため当然みつからない。そのためブラウザの処理がループし、ブラウザが60 - 100個ほど開いてしまう。また、ブラウザに設定したメールクライアントが一見設定されている状態でも、なんらかの影響によって未設定とみなされ、上記と同様の現象が発生することがある。その場合は、一旦ブラウザのメール設定を変更し、再度戻すことで現象は回避できる。

FDD アタック・CD-ROM アタック

fileスキームを悪用してフロッピーディスクドライブ (FDD) へのアクセスを繰り返す、CD-ROMドライブが開閉を繰り返すなど、周辺機器にアクセスさせるマークアップを多数記述し、ブラウザの反応を遅くする。場合によっては周辺機器に物理的影響を与える。特にフロッピーディスクは機器への負担が大きい。

通常Aドライブであるフロッピーディスクドライブがガチャガチャと動く。

防御策

フロッピーディスクドライブのドライブ名をA以外にする

URL の前に "view-source:" をつけてソースコードを確認し、img タグの src 属性に file:// が含まれていないか注意する。

ただし、Windows XP SP2 以降の Internet Explorer や Opera など一部の環境では view-source: をつけてもソースコードが確認できないため、オンラインのソースチェッカーを使用するなど別の方法を用いる必要がある。


FDDアタックがPCのAドライブにアクセスし続けると、FDDが破損することがある。だが、FDDに最初からFDを挿入しておくと、破損は回避できる。

もっとも、Windows XP以降の市販パソコンではフロッピーディスクドライブがレガシーデバイスと化し、別売のオプション扱いとするものが出てきている。このようなパソコンにはAドライブが存在しないため、フロッピーディスクドライブアタックは効かない（やむなく使用する必要がある場合、USB接続の外付けドライブなどで代用する）。なお、Windows以外のプラットフォームは影響を受けない。
テーブルネスト

table タグの中に table タグを入れ、さらにその中に table タグを入れ、これを故意に深くネスティングさせたもの。古いブラウザ、特にバージョンの古い Netscape Navigator（4.x あたりまで）ではフリーズしてしまう。 意図しなくてもページレイアウトのために table タグを多用した場合、同じことが起こりうる。

防御策

CSS（スタイルシート）への対応が不完全な古いブラウザしか対応できないパソコン環境（Windows 95, MacOS8.x あたりまで）の使用を止め、新しいブラウザが動作できるパソコン環境に移行する。

URL の前に "view-source:" をつけてソースを確認し、table タグの多重入れ子が含まれていないか注意する。

ただし、Windows XP SP2 以降の Internet Explorer や Opera など一部の環境では view-source: をつけてもソース確認ができないため、オンラインのソースチェッカーを使用するなど別の方法を用いる必要がある。


concon クラッシャー