<p>[META:TYPE_SECURITY_ADVISORY_CSIRT_PRACTICAL_JS_LIBRARY]</p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">jsPDFにおけるPDF注入およびDoS脆弱性への緊急対応ガイド：CVE-2026-24737への実務的対策</h1> <h3 class="wp-block-heading">【脅威の概要と背景】</h3> <p>クライアントサイドでPDFを生成するライブラリ「jsPDF」において、悪意のある入力がPDF構造を破壊、またはリソースを異常消費させる脆弱性（CVE-2026-24737等）が公表されました。</p> <h3 class="wp-block-heading">【攻撃シナリオの可視化】</h3> <p>攻撃者がユーザー入力を介して、PDFオブジェクトの定義を改ざん、あるいは無限ループを誘発するペイロードを送り込むキルチェーンを以下に示します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["攻撃者"] -->|悪意のある文字列をフォーム入力| B("Webアプリケーション") B -->|未検証のデータをjsPDFへ渡す| C{"jsPDFエンジンの処理"} C -->|PDF Injection| D["生成PDF内に悪意あるJS/URIを埋め込み"] C -->|DoS| E["ブラウザのリソース枯渇・フリーズ"] D -->|被害者がPDFを開封| F["閲覧環境でのクロスサイトスクリプティング/XSS"] E -->|サービス利用不可| G["可用性の喪失"] </pre></div> <h3 class="wp-block-heading">【安全な実装と設定】</h3> <p>脆弱な実装（直接的なユーザー入力の受け入れ）と、防御的な実装の対比を以下に示します。</p> <h4 class="wp-block-heading">1. PDF注入への対策（JavaScript）</h4> <p><strong>脆弱なコード例:</strong></p> <div class="codehilite"> <pre data-enlighter-language="generic">// ユーザー入力をそのままPDFに描画 const doc = new jsPDF(); const userInput = new URLSearchParams(window.location.search).get('name'); doc.text(userInput, 10, 10); // ここでPDF構造が破壊されるリスク doc.save('report.pdf'); </pre> </div> <p><strong>安全な代替案:</strong></p> <div class="codehilite"> <pre data-enlighter-language="generic">import DOMPurify from 'dompurify'; const doc = new jsPDF(); let userInput = new URLSearchParams(window.location.search).get('name') || ""; // 1. 入力のサニタイズ（特にHTML経由で生成する場合） const cleanInput = DOMPurify.sanitize(userInput); // 2. 文字列の長さ制限と制御文字の除去 const safeText = cleanInput.replace(/[\x00-\x1F\x7F]/g, "").substring(0, 100); doc.text(safeText, 10, 10); doc.save('report.pdf'); </pre> </div> <h4 class="wp-block-heading">2. DoS（リソース枯渇）への対策</h4> <p>jsPDFで大きな画像や複雑なパスを描画する際、メモリ消費を抑える設定が必要です。</p> <div class="codehilite"> <pre data-enlighter-language="generic">// 3. 画像圧縮の強制と解像度の制限 const imgData = '...'; // ユーザーアップロード画像等 doc.addImage(imgData, 'JPEG', 10, 10, 50, 50, undefined, 'FAST'); // 'FAST'オプションや圧縮を利用し、描画負荷を軽減 </pre> </div> <h3 class="wp-block-heading">【検出と緩和策】</h3> <ul class="wp-block-list"> <li><p><strong>EDR/WAFでの検知</strong>:</p> <ul> <li><p><code>application/pdf</code> のレスポンスに含まれる異常なキーワード（例: <code>/JS</code>, <code>/JavaScript</code>, <code>/OpenAction</code>）の監視。</p></li> <li><p>HTTPリクエストパラメータにおける、PDFのシンタックス文字（<code>>></code>, <code><<</code>, <code>obj</code>, <code>endobj</code>）のシグネチャ検知。</p></li> </ul></li> <li><p><strong>応急的な緩和策（Workaround）</strong>:</p> <ul> <li><p><code>Content-Security-Policy (CSP)</code> の <code>object-src 'none'</code> または <code>script-src</code> の厳格化により、PDF内からのスクリプト実行をブラウザ側で阻止する。</p></li> <li><p>信頼できないユーザー入力を伴うPDF生成機能を、修正パッチ適用まで一時的に停止する。</p></li> </ul></li> </ul> <h3 class="wp-block-heading">【実務上の落とし穴】</h3> <ul class="wp-block-list"> <li><p><strong>誤検知のリスク</strong>: サニタイズ処理を厳格にしすぎると、多言語（非ラテン文字）や特殊な記号を含む正当なレポート出力が文字化けしたり、レイアウトが崩れたりする「可用性とのトレードオフ」が発生します。</p></li> <li><p><strong>クライアントサイドの限界</strong>: jsPDFはブラウザ上で動作するため、悪意のあるユーザーが自身のブラウザで意図的にDoSを引き起こすことは防げませんが、他者を標的にした「汚染されたPDFの配布」を防ぐことに主眼を置くべきです。</p></li> </ul> <h3 class="wp-block-heading">【まとめ】</h3> <p>組織のセキュリティ担当者は、直ちに以下の3点を確認してください。</p> <ol class="wp-block-list"> <li><p><strong>依存関係の更新</strong>: <code>npm audit</code> 等を用いて <code>jspdf</code> のバージョンを確認し、修正済みバージョン（最新版）へアップデートする。</p></li> <li><p><strong>入力バリデーションの再点検</strong>: PDF生成関数（<code>text()</code>, <code>html()</code>, <code>addImage()</code>等）に渡されるデータが、適切にサニタイズ・型検知されているかコードレビューを実施する。</p></li> <li><p><strong>CSPの適用確認</strong>: 生成されたPDFが悪用された場合に備え、ブラウザ側でスクリプト実行を制限するポリシーが適用されているか確認する。</p></li> </ol> <hr/> <p><strong>参考文献:</strong></p> <ul class="wp-block-list"> <li><p><a href="https://github.com/parallax/jsPDF">jsPDF GitHub Repository / Security Policy</a></p></li> <li><p><a href="https://nvd.nist.gov/">NIST National Vulnerability Database (NVD)</a></p></li> <li><p><a href="https://www.jpcert.or.jp/">JPCERT/CC 脆弱性対策情報</a></p></li> </ul>

graph TD
    A["攻撃者"] -->|悪意のある文字列をフォーム入力| B("Webアプリケーション")
    B -->|未検証のデータをjsPDFへ渡す| C{"jsPDFエンジンの処理"}
    C -->|PDF Injection| D["生成PDF内に悪意あるJS/URIを埋め込み"]
    C -->|DoS| E["ブラウザのリソース枯渇・フリーズ"]
    D -->|被害者がPDFを開封| F["閲覧環境でのクロスサイトスクリプティング/XSS"]
    E -->|サービス利用不可| G["可用性の喪失"]

// ユーザー入力をそのままPDFに描画
const doc = new jsPDF();
const userInput = new URLSearchParams(window.location.search).get('name');
doc.text(userInput, 10, 10); // ここでPDF構造が破壊されるリスク
doc.save('report.pdf');

import DOMPurify from 'dompurify';

const doc = new jsPDF();
let userInput = new URLSearchParams(window.location.search).get('name') || "";

// 1. 入力のサニタイズ（特にHTML経由で生成する場合）
const cleanInput = DOMPurify.sanitize(userInput);

// 2. 文字列の長さ制限と制御文字の除去
const safeText = cleanInput.replace(/[\x00-\x1F\x7F]/g, "").substring(0, 100);

doc.text(safeText, 10, 10);
doc.save('report.pdf');

// 3. 画像圧縮の強制と解像度の制限
const imgData = '...'; // ユーザーアップロード画像等
doc.addImage(imgData, 'JPEG', 10, 10, 50, 50, undefined, 'FAST'); 
// 'FAST'オプションや圧縮を利用し、描画負荷を軽減