このページは Cloud Translation API によって翻訳されました。

ローカルネットワークへのアクセスに関する新しい権限プロンプト

Chris Thompson

公開日: 2025 年 6 月 9 日

Chrome では、ローカルネットワークアクセス仕様のドラフトの一環として、ユーザーのローカルネットワークに接続するサイトに対して新しい権限プロンプトを追加します。この変更は、プライベートネットワーク上のルーターやその他のデバイスをターゲットとするクロスサイトリクエストフォージェリ（CSRF）攻撃からユーザーを保護し、サイトがこれらのリクエストを使用してユーザーのローカルネットワークのフィンガープリントを取得する能力を低減することを目的としています。

この変更がウェブエコシステムに与える影響を把握するため、Chrome チームは、ユーザーのローカルネットワークやユーザーのマシンでローカルに実行されているソフトウェアへの接続に依存するウェブアプリケーションを構築するデベロッパーからのフィードバックを募集しています。Chrome 138 以降では、chrome://flags/#local-network-access-check に移動してフラグを [有効（ブロック）] に設定することで、これらの新しい制限を有効にできます。

注: Chrome では以前、プライベートネットワークアクセスでローカルネットワークデバイスへのアクセスを制限するテストを実施しました。このテストでは、すべてのローカルネットワークアクセスを権限プロンプトで制限するのではなく、ターゲットデバイスが接続をオプトインした CORS プリフライトが必要でした。PNA が保留された後、ローカルネットワークアクセスがその取り組みに代わるものです。PNA のテストとフィードバックのご提供にご協力いただいた皆様、誠にありがとうございました。皆様からのご意見は、新しいローカルネットワークアクセス権限の取得方法の策定に非常に役立ちました。

ローカルネットワークへのアクセスとは

ローカルネットワークへのアクセスは、ユーザーのローカルネットワーク上のサーバー（ユーザーのマシンでローカルに実行されているサーバーを含む）にウェブサイトがリクエストを送信する機能を制限します。このようなリクエストを行うには、ユーザーがサイト権限を付与する必要があります。この権限をリクエストする機能は、安全なコンテキストに制限されています。

「ローカルネットワーク上のデバイスを検索して接続する」というメッセージが表示されます。 — Chrome のローカルネットワークへのアクセス権の確認メッセージの例。

Android、iOS、MacOS など、他の多くのプラットフォームにはローカルネットワークアクセス権があります。たとえば、新しい Google TV デバイスと Chromecast デバイスをセットアップする際に、Google Home アプリにローカルネットワークへのアクセスを許可している場合があります。

影響を受けるリクエストの種類

ローカルネットワークアクセスの最初のマイルストーンで、Google は「ローカルネットワークリクエスト」を、パブリックネットワークからローカルネットワークまたはループバックデスティネーションへのリクエストと見なします。

ローカルネットワークとは、IPv4 の RFC1918 のセクション 3 で定義されているプライベートアドレス空間に解決される宛先です（192.168.0.0/16）、マッピングされた IPv4 アドレス自体がプライベートである IPv4 マッピングされた IPv6 アドレス、または ::1/128、2000::/3、ff00::/8 サブネット外の IPv6 アドレス。

ループバックは、IPv4 の RFC1122 の 3.2.1.3 で定義された「ループバック」空間（127.0.0.0/8）、IPv4 の RFC3927 で定義された「リンクローカル」空間（169.254.0.0/16）、IPv6 の RFC4193 の 3 節で定義された「一意のローカルアドレス」接頭辞（fcc00::/7）、または IPv6 の RFC4291 の 2.5.6 節で定義された「リンクローカル」接頭辞（fe80::/10）に解決される任意の宛先です。

パブリックネットワークは、他のすべてのデスティネーションです。

ローカルネットワークへのアクセス権は安全なコンテキストに制限されており、ローカルネットワークデバイスを HTTPS に移行するのは難しい場合があります。そのため、Chrome がリクエストが宛先を解決する前にローカルネットワークに送信されることを認識している場合、権限制限付きのローカルネットワークリクエストは混在コンテンツチェックの対象外となります。Chrome は、次の場合にリクエストがローカルネットワークに送信されることを認識します。

リクエストのホスト名はプライベート IP リテラル（192.168.0.1）。
リクエストのホスト名が .local ドメインである。
fetch() 呼び出しにアノテーションとして targetAddressSpace: "local". オプションが付けられている

// Example 1: Private IP literal is exempt from mixed content.
fetch("http://192.168.0.1/ping");

// Example 2: `.local` domain is exempt from mixed content.
fetch("http://router.local/ping");

// Example 3: Public domain is not exempt from mixed content,
// even if it resolves to a local network address.
fetch("http://example.com/ping");

// Example 4: Adding the `targetAddressSpace` option flags that
// the request will go to the local network, and is thus exempt
// from mixed content.
fetch("http://example.com/ping", {
  targetAddressSpace: "local",
});

Chrome の変更点

Chrome 138

ローカルネットワークへのアクセスの初期バージョンは、Chrome 138 でオプトインテストの準備が整いました。ユーザーは、chrome://flags#local-network-access-check を [有効（ブロック）] に設定することで、新しい権限プロンプトを有効にできます。これにより、JavaScript fetch() API、サブリソースの読み込み、サブフレームナビゲーションを使用して開始されたリクエストに対して、ローカルネットワークアクセス権限プロンプトをトリガーできます。

さまざまな形式のローカルネットワークリクエストをトリガーできるデモサイトは https://local-network-access-testing.glitch.me/ で利用できます。

既知の問題と制限事項

新しい権限プロンプトは現在、パソコン版 Chrome でのみ実装されています。現在、Android Chrome への移植に取り組んでおります。（crbug.com/400455013 でトラッキング中）。
ローカルネットワークへの WebSocket（crbug.com/421156866）、WebTransport（crbug.com/421216834）、WebRTC（crbug.com/421223919）接続は、まだ LNA 権限で制限されていません。
現在、Service Worker からのローカルネットワークリクエストでは、Service Worker のオリジンにローカルネットワークアクセス権が付与されている必要があります。
- アプリがサービスワーカーからローカルネットワークリクエストを送信する場合、現在のところ、権限プロンプトをトリガーするには、アプリからローカルネットワークリクエストを別途トリガーする必要があります。（アクティブなドキュメントが利用可能な場合に、ワーカーが権限プロンプトをトリガーできるようにする方法に取り組んでいます。crbug.com/404887282 をご覧ください）。

Chrome 139 以降

ローカルネットワークへのアクセスは、できるだけ早くリリースする予定です。一部のサイトでは、ローカルネットワークアクセスのアノテーションを追加するためにさらに時間がかかる可能性があることを認識し、ローカルネットワークアクセスをデフォルトでリリースする前に、オリジントライアルを追加して、サイトがセキュアコンテキストの要件を一時的にオプトアウトできるようにします。これにより、特に HTTP を介したローカルネットワークリソースへのアクセスに依存している場合、デベロッパーにとってより明確な移行パスが提供されるはずです（ローカルネットワークアクセスの混合コンテンツの除外をまだサポートしていないブラウザで HTTPS ページからリクエストされた場合、これらのリクエストは混合コンテンツとしてブロックされるため）。

また、ローカルネットワークリクエストを実行できるサイトとできないサイトを制御する Chrome エンタープライズポリシーも追加されます（サイトへの権限を事前に付与または事前に拒否）。これにより、企業環境などの管理対象の Chrome インストールでは、既知の想定されるユースケースで警告が表示されないようにしたり、さらにロックダウンしてサイトが権限をリクエストできないようにしたりできます。

ローカルネットワークアクセス権限は、ローカルネットワークにリクエストを送信できるさまざまな機能と引き続き統合される予定です。たとえば、WebSocket、WebTransport、WebRTC 接続用のローカルネットワークアクセスをまもなくリリースする予定です。

Chrome でローカルネットワークアクセスが完全にリリースされる時期が近づきましたら、改めてお知らせいたします。

フィードバックを求めている

プライベートネットワークアクセスの開発に関する以前のフィードバックは、新しいローカルネットワークアクセス権限のアプローチを決定するうえで非常に有益でした。長年にわたり関わってくださった皆様に改めて感謝申し上げます。

ユーザーのローカルネットワークまたはユーザーのマシンでローカルに実行されているソフトウェアへの接続に依存するウェブサイトを開発している場合や、そのようなウェブサイトのユーザーである場合は、Chrome チームにフィードバックとユースケースをお知らせください。次の 2 つの方法でサポートできます。

chrome://flags#local-network-access-check に移動し、フラグを [有効（ブロック）] に設定して、ウェブサイトが新しい権限プロンプトを正しくトリガーし、権限を付与した後に想定どおりに動作するかどうかを確認します。
問題が発生した場合やフィードバックがある場合は、Chromium Issue Tracker または LNA 説明 GitHub リポジトリで問題を報告してください。Chrome へのご意見をお待ちしております。