このページは Cloud Translation API によって翻訳されました。

ローカルネットワークへのアクセスに関する新しい権限プロンプト

Chris Thompson

公開日: 2025 年 6 月 9 日

Chrome では、ローカルネットワークアクセス仕様の一環として、ユーザーのローカルネットワークに接続するサイト向けの新しい権限プロンプトが追加されます。この変更は、プライベートネットワーク上のルーターなどを標的とするクロスサイトリクエストフォージェリ（CSRF）攻撃からユーザーを保護し、サイトがこれらのリクエストを使用してユーザーのローカルネットワークのフィンガープリントを生成する機能を制限することを目的としています。

この変更がウェブエコシステムに与える影響を把握するため、Chrome チームは、ユーザーのローカルネットワークやユーザーのマシンでローカルに実行されているソフトウェアへの接続に依存するウェブアプリケーションを構築しているデベロッパーからのフィードバックを求めています。Chrome 138 以降では、chrome://flags/#local-network-access-check に移動してフラグを [有効（ブロック）] に設定することで、これらの新しい制限を有効にできます。

注: Chrome では以前、プライベートネットワークアクセスを使用してローカルネットワークデバイスへのアクセスを制限する試験運用を行っていました。この試験運用では、すべてのローカルネットワークアクセスを権限プロンプトの背後にゲートで制御するのではなく、ターゲットデバイスが接続を許可する CORS プリフライトが必要でした。ローカルネットワークアクセスは、PNA が保留された後、その取り組みに代わるものです。PNA のテストにご協力いただき、フィードバックをお寄せいただいた皆様に感謝いたします。皆様からのフィードバックは、新しいローカルネットワークアクセス権限のアプローチを検討するうえで非常に貴重な情報となりました。

ローカルネットワークへのアクセスとは

ローカルネットワークアクセスは、ウェブサイトがユーザーのローカルネットワーク上のサーバー（ユーザーのデバイスでローカルに実行されているサーバーを含む）にリクエストを送信する機能を制限し、このようなリクエストを行う前にユーザーがサイトに権限を付与することを要求します。この権限をリクエストできるのは、安全なコンテキストのみです。

「ローカルネットワーク上のデバイスを検索して接続する」というテキストが表示されたプロンプト。 — Chrome のローカルネットワークアクセス権限のプロンプトの例。

Android、iOS、MacOS など、他の多くのプラットフォームにもローカルネットワークアクセス権限があります。たとえば、新しい Google TV デバイスや Chromecast デバイスをセットアップする際に、ローカルネットワークへのアクセス権を Google Home アプリに付与した可能性があります。

影響を受けるリクエストの種類

ローカルネットワークアクセスの最初のマイルストーンでは、「ローカルネットワークリクエスト」とは、パブリックネットワークからローカルネットワークまたはループバック宛先へのリクエストを指します。

ローカルネットワークは、IPv4 の RFC1918 のセクション 3 で定義されているプライベートアドレス空間に解決される任意の宛先です（例: 192.168.0.0/16）、マッピングされた IPv4 アドレス自体がプライベートである IPv4 マップ IPv6 アドレス、または ::1/128、2000::/3、ff00::/8 サブネット外の IPv6 アドレス。

ループバックとは、IPv4 の RFC1122 のセクション 3.2.1.3 で定義されている「ループバック」空間（127.0.0.0/8）、IPv4 の RFC3927 で定義されている「リンクローカル」空間（169.254.0.0/16）、IPv6 の RFC4193 のセクション 3 で定義されている「一意のローカルアドレス」接頭辞（fcc00::/7）、または IPv6 の RFC4291 のセクション 2.5.6 で定義されている「リンクローカル」接頭辞（fe80::/10）に解決される宛先です。

IP アドレスとアドレス空間のマッピングについては、ローカルネットワークアクセス仕様の表をご覧ください。

パブリックネットワークは、その他の宛先です。

ローカルネットワークアクセス権限は安全なコンテキストに制限されており、ローカルネットワークデバイスを HTTPS に移行することは困難な場合があるため、権限で保護されたローカルネットワークリクエストは、宛先を解決する前にリクエストがローカルネットワークに送信されることが Chrome にわかっている場合、混合コンテンツチェックから除外されるようになります。Chrome は、次の条件を満たす場合にリクエストがローカルネットワークに送信されることを認識します。

リクエストのホスト名がプライベート IP リテラル（192.168.0.1）。
リクエストのホスト名は .local ドメインです。
fetch() 呼び出しにはオプション targetAddressSpace: "local". が付加されています。

// Example 1: Private IP literal is exempt from mixed content.
fetch("http://192.168.0.1/ping");

// Example 2: `.local` domain is exempt from mixed content.
fetch("http://router.local/ping");

// Example 3: Public domain is not exempt from mixed content,
// even if it resolves to a local network address.
fetch("http://example.com/ping");

// Example 4: Adding the `targetAddressSpace` option flags that
// the request will go to the local network, and is thus exempt
// from mixed content.
fetch("http://example.com/ping", {
  targetAddressSpace: "local",
});

Chrome の変更点

Chrome 138

ローカルネットワークアクセスの初期バージョンが完成し、Chrome 138 でオプトインテストを実施できるようになりました。新しい権限プロンプトを有効にするには、chrome://flags#local-network-access-check を [有効（ブロック）] に設定します。これにより、JavaScript fetch() API、サブリソースの読み込み、サブフレームナビゲーションを使用して開始されたリクエストに対して、ローカルネットワークアクセス権限のプロンプトをトリガーできるようになります。

さまざまな形式のローカルネットワークリクエストをトリガーできるデモサイト（https://lna-testing.notyetsecure.com/）が用意されています。

既知の問題と制限事項

ローカルネットワークへの WebSocket（crbug.com/421156866）、WebTransport（crbug.com/421216834）、WebRTC（crbug.com/421223919）接続は、まだ LNA 権限でゲートされていません。
Service Worker と Shared Worker からのローカルネットワークリクエストでは、ワーカーのオリジンにローカルネットワークアクセス権限が事前に付与されている必要があります。
- アプリケーションがサービスワーカーからローカルネットワークリクエストを行う場合、権限プロンプトをトリガーするには、アプリケーションからローカルネットワークリクエストを別途トリガーする必要があります。（アクティブなドキュメントがある場合に、ワーカーが権限プロンプトをトリガーする方法を検討しています。crbug.com/404887282 をご覧ください）。

Chrome 139 以降

Google は、ローカルネットワークへのアクセスをできるだけ早くリリースする予定です。一部のサイトでは、ローカルネットワークアクセスのアノテーションで更新するのに時間がかかる可能性があることを考慮して、ローカルネットワークアクセスをデフォルトでリリースする前に、サイトが一時的にセキュアコンテキストの要件をオプトアウトできるオリジントライアルを追加します。これにより、特に HTTP 経由でローカルネットワークリソースにアクセスしているデベロッパーにとって、移行パスがより明確になります（ローカルネットワークアクセスの混合コンテンツ除外をまだサポートしていないブラウザで HTTPS ページからリクエストされた場合、これらのリクエストは混合コンテンツとしてブロックされるため）。

また、どのサイトがローカルネットワークリクエストを行えるか、行えないかを制御する Chrome エンタープライズポリシーも追加します（これらのサイトに対する権限を事前に付与または拒否します）。これにより、企業環境などの管理対象の Chrome インストールでは、既知のユースケースで警告が表示されないようにしたり、さらにロックダウンしてサイトが権限をリクエストできないようにしたりできます。

今後も、ローカルネットワークにリクエストを送信できるさまざまな機能にローカルネットワークアクセス権限を統合していく予定です。たとえば、WebSocket、WebTransport、WebRTC 接続のローカルネットワークアクセスをまもなくリリースする予定です。

Chrome でローカルネットワークアクセスを完全にリリースできる時期が近づきましたら、改めてお知らせいたします。

フィードバックを募集しています

プライベートネットワークアクセスの開発に関する以前のフィードバックは、新しいローカルネットワークアクセス権限のアプローチを検討するうえで非常に貴重なものでした。長年にわたりご協力いただいた皆様に改めて感謝申し上げます。

ユーザーのローカルネットワークやユーザーのマシンでローカルに実行されているソフトウェアへの接続に依存するウェブサイトを開発している場合や、そのようなウェブサイトのユーザーである場合は、Chrome チームは皆様からのフィードバックやユースケースに関心があります。次の 2 つの方法でご協力いただけます。

chrome://flags#local-network-access-check に移動し、フラグを [有効（ブロック）] に設定して、ウェブサイトで新しい権限プロンプトが正しくトリガーされるかどうか（権限を付与した後に期待どおりに動作するかどうか）を確認します。
問題が発生した場合やフィードバックがある場合は、Chromium Issue Tracker で問題を報告するか、LNA 仕様の GitHub リポジトリで報告してください。Chrome へのご意見をお聞かせください。