SSDが「覗き窓」になる日：FROSTという新たな脅威

あなたが今このページを読んでいる間、別のタブで開いているサイトが「見られている」としたら、どうしますか。パスワードを入力していなくても、個人情報を送信していなくても。

研究者たちが新たに発表した手法「FROST（Fingerprinting Remotely using OPFS-based SSD Timing）」は、まさにそのような事態を可能にします。ウイルスでも、フィッシングでも、マルウェアでもない。あなたのパソコンに内蔵されたSSD（ソリッドステートドライブ）の「動作の微妙なタイミング」を測定するだけで、他のサイトの閲覧状況やどのアプリを起動しているかを推測できる、という技術です。

FROSTとは何か：SSDの「息づかい」を盗み聞く

FROSTの仕組みを理解するには、まず「サイドチャネル攻撃」という概念を知る必要があります。サイドチャネル攻撃とは、システムの正規の入出力ではなく、電磁波の放射、処理にかかる時間、消費電力といった「物理的な副産物」を観察することで情報を盗み出す手法です。金庫の暗証番号を直接聞くのではなく、ダイヤルを回す音を聞いて番号を当てるようなものです。

FROSTが利用するのは、ブラウザの標準機能であるOPFS（Origin Private File System）です。OPFSはウェブアプリがローカルのファイルシステムにアクセスするための仕組みで、本来は正当な用途のために設計されています。しかし悪意ある攻撃者がこれを使ってSSDへの読み書き処理を意図的に発生させ、その処理時間を精密に計測することで「SSDが今どれだけ忙しいか」を把握できます。

SSDは複数のアプリやブラウザタブから同時にアクセスされると、処理の「競合（コンテンション）」が生じます。この競合の度合いを外部から測定することで、攻撃者は「あのタブではYouTubeが再生されている」「このデバイスではZoomが起動している」といった情報を間接的に推測できる、というわけです。

なぜ今、これが問題なのか

広告

広告掲載について

[email protected]

広告

ウェブの追跡技術は長い歴史を持ちます。クッキー、ブラウザフィンガープリンティング、キーストロークのログ記録、マウスの動きの解析——そして最近ではMetaやYandexさえも、こうしたプライバシー侵害的な手法に関与していたことが明らかになっています。

しかしFROSTが従来の手法と根本的に異なるのは、「ブラウザのサンドボックスを越えている」という点です。従来の追跡技術は、あくまで同じブラウザ内、あるいは同じサイト内での行動を対象としていました。FROSTはSSDというハードウェアレベルの共有リソースを介することで、異なるタブ、さらには異なるアプリケーションの動作すら推測できる可能性があります。

タイミングはけっして偶然ではありません。2025年から2026年にかけて、主要ブラウザがサードパーティCookieの廃止を進める中、広告業界や追跡業者は代替手法を模索してきました。こうした「Cookieなき追跡」の需要が高まる時代に、ハードウェアレベルのサイドチャネルが新たな手段として浮上しているのです。

日本のユーザーと企業への影響

日本においてこの問題は、いくつかの固有の文脈で考える必要があります。

まず、日本は世界でも有数のSSD普及率を誇る国です。ビジネス用途でも家庭用途でも、SSD搭載デバイスが広く使われています。ソニー、富士通、東芝（現キオクシア）といった企業はSSD製造にも深く関わっており、自社製品が攻撃の「媒介」になり得るという事実は、製品設計の観点からも無視できません。

次に、日本企業の多くは社内でウェブブラウザを業務ツールとして使用しています。もし従業員が悪意あるサイトを訪問した際に、同時に開いている社内システムや業務アプリの情報が漏洩するとすれば、企業のセキュリティポリシーは根本から見直しを迫られます。

一方、ChromeやFirefox、Safariといった主要ブラウザベンダーはこの研究を受けて対策を検討するとみられます。OPFSへのアクセスに制限を設けるか、タイミング計測の精度を意図的に下げる「タイマーのジッター化」が有効な対策として考えられています。ただし、これらはOPFSの正当な用途にも影響を与える可能性があり、利便性とセキュリティのトレードオフは避けられません。

日本の個人情報保護委員会や、EUのGDPRに相当する規制の観点からも、ハードウェアレベルのサイドチャネルを利用した追跡が「個人情報の取得」に該当するかどうか、法的な解釈が求められることになるでしょう。現行の法律の多くは、こうした物理的副産物を利用した情報収集を明示的に想定していません。