オーストリアのセキュリティ研究チームは最新の論文で、**FROST(Fingerprinting Remotely using OPFS-based SSD Timing)**と呼ばれる新たな非対話型攻撃を公開しました。この攻撃により、悪意のあるWebサイトは、ソフトウェアのインストールやユーザーにリンクをクリックさせることなく、被害者のソリッドステートドライブ(SSD)のデータ読み書きタイミングを分析することで、他のタブやブラウザでのユーザーのオンラインアクティビティを推測できます。攻撃の仕組みは次のとおりです。悪意のあるWebサイトは、ブラウザのOPFS(オリジンプライベートファイルシステム)インターフェースを利用して、数GBの大容量ファイルをSSDに書き込み、ハードドライブの帯域幅を占有します。同時に、他のサイトがディスクに一時ファイルを書き込む際のマイクロ秒単位のタイミングの違いを利用し、収集したデータを機械学習モデルで分析することで、88.95%の精度でユーザーがどのWebサイトにアクセスしているかを、95.83%の精度でユーザーが使用しているローカルアプリケーションを特定できます。研究者らはMacおよびLinuxデバイスで実験的に検証し、Windowsデバイスも影響を受けないわけではないと指摘しています。
この攻撃で最も警戒すべき点は、そのクロスブラウザ特性です。攻撃経路がオペレーティングシステムレベルのSSDハードウェアを介するため、理論上はChromeで実行中の悪意のあるWebサイトから、ユーザーが別のブラウザで閲覧しているアクティビティを追跡でき、ブラウザのサンドボックス分離メカニズムを完全に回避できます。研究者のHannes Weissteiner氏は「原則として、SSDアクセスを確実に発生させるシステムアクティビティであれば、モデルのトレーニングに使用できる」と述べており、攻撃対象がWebブラウジングにとどまらないことを示しています。現時点ではブラウザ向けのパッチはなく、研究者はリスクを減らすために、Webページを離れたらすぐに該当タブを閉じるよう推奨しています。この脆弱性を根本的に修正するには、ブラウザベンダーまたはオペレーティングシステムレベルで、OPFSの帯域幅アクセスにスロットル制限を実装する必要があります。