<p><style_prompt> {“role”: “CSIRT_Engineer”, “tone”: “Professional_and_Analytical”, “focus”: “Risk_Assessment_and_Mitigation”, “output_format”: “Technical_Report”} </style_prompt></p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">SandboxJSにおけるサンドボックス脱出の脆弱性（CVSS 10.0）に対する緊急対応指針</h1> <h2 class="wp-block-heading">【脅威の概要と背景】</h2> <p>JS実行環境を隔離するライブラリ「SandboxJS」において、サンドボックスを完全に脱出し、ホストOS上で任意のコード実行（RCE）が可能となる深刻な脆弱性4件が報告されました。これらはCVSSv3.1で最高値の10.0を記録しており、プロトタイプ汚染やコンストラクタの悪用を介して隔離環境を突破するものです。</p> <h2 class="wp-block-heading">【攻撃シナリオの可視化】</h2> <p>攻撃者が信頼できないスクリプトをサンドボックス内で実行させ、ホストのグローバルオブジェクトを奪取するまでのキルチェーンを以下に示します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["攻撃者: 悪意あるJSコードを注入"] --> B{"SandboxJS実行"} B --> C["プロトタイプ汚染 / Proxy悪用"] C --> D["サンドボックス外のConstructorへアクセス"] D --> E["processオブジェクトの奪取"] E --> F["ホストOS上での任意コマンド実行: RCE"] F --> G["システム全損 / データ漏洩"] </pre></div> <h2 class="wp-block-heading">【安全な実装と設定】</h2> <p>今回の脆弱性は、JavaScriptの動的な特性（<code>__proto__</code>や<code>constructor</code>）を完全に制限できていないことに起因します。</p> <h3 class="wp-block-heading">1. 誤用例：脆弱なサンドボックス利用</h3> <p>以下のような実装は、最新の脱出手法に対して無防備です。</p> <div class="codehilite"> <pre data-enlighter-language="generic">// 脆弱な例: 単純なSandboxJSの呼び出し const { Sandbox } = require('sandboxjs'); const runtime = new Sandbox(); // 攻撃者は以下のようなコードを流し込む // (function(){}).constructor('return process')().mainModule.require('child_process').execSync('rm -rf /'); runtime.evaluate(untrustedCode); </pre> </div> <h3 class="wp-block-heading">2. 安全な代替案：多層防御の実装</h3> <p>ライブラリのアップデートに加え、OSレベルでの隔離を併用することが推奨されます。</p> <p><strong>Node.js側での制約例（isolated-vmへの移行検討）:</strong></p> <div class="codehilite"> <pre data-enlighter-language="generic">// より強力な隔離を提供する isolated-vm 等の利用（例） const ivm = require('isolated-vm'); const isolate = new ivm.Isolate({ memoryLimit: 128 }); const context = isolate.createContextSync(); // グローバルオブジェクトを一切共有しない const jail = context.global; jail.setSync('global', jail.derefInto()); // 実行時間の制限（タイムアウト設定） const script = isolate.compileScriptSync(untrustedCode); script.runSync(context, { timeout: 100 }); </pre> </div> <p><strong>インフラ側での緩和策（Docker / gVisor）:</strong></p> <div class="codehilite"> <pre data-enlighter-language="generic"># 実行環境をネットワークから隔離し、読み取り専用にする docker run --rm \ --network none \ --read-only \ --cap-drop ALL \ --memory="512m" \ sandbox-executor-image </pre> </div> <h2 class="wp-block-heading">【検出と緩和策】</h2> <h3 class="wp-block-heading">検出ポイント</h3> <ul class="wp-block-list"> <li><p><strong>EDR/SIEM:</strong> Node.jsプロセス（<code>node</code>）からの不審な子プロセス（<code>sh</code>, <code>cmd.exe</code>, <code>curl</code>等）の生成を監視。</p></li> <li><p><strong>WAF/IPS:</strong> 入力値に含まれる <code>constructor</code>, <code>__proto__</code>, <code>process.mainModule</code>, <code>Function('...')</code> といったキーワードの検知。</p></li> </ul> <h3 class="wp-block-heading">応急的な緩和策（Workaround）</h3> <ol class="wp-block-list"> <li><p><strong>依存関係の強制アップデート:</strong> <code>npm audit fix</code> または <code>yarn up</code> により、修正済みバージョンへ即時更新。</p></li> <li><p><strong>入力バリデーション:</strong> サンドボックスに渡す前のコードに対して、静的解析ツール（ESLint等）で危険なプロパティアクセスを禁止する。</p></li> <li><p><strong>実行プロセスの権限縮小:</strong> 実行ユーザーを <code>nobody</code> 等の非特権ユーザーに制限。</p></li> </ol> <h2 class="wp-block-heading">【実務上の落とし穴】</h2> <ul class="wp-block-list"> <li><p><strong>可用性への影響:</strong> サンドボックスの制限を厳格化（プロトタイプアクセスの禁止等）すると、既存の正当なスクリプトが動作しなくなる「破壊的変更」となる可能性があります。</p></li> <li><p><strong>誤検知のリスク:</strong> 複雑なロジックを持つJSライブラリをサンドボックス内で動かしている場合、正常なコンストラクタ利用が攻撃と判定される場合があります。</p></li> <li><p><strong>ライブラリの限界:</strong> JSのみで実装されたサンドボックスは、言語仕様上の「隠れたパス」を完全に塞ぐことが理論上困難です。物理的な隔離（VM/Container）を伴わない構成は、常に脱出リスクを考慮する必要があります。</p></li> </ul> <h2 class="wp-block-heading">【まとめ】</h2> <p>組織として直ちに実施すべき3項目：</p> <ol class="wp-block-list"> <li><p><strong>資産の特定:</strong> 外部からのスクリプト（プラグイン、ユーザー定義ロジック）を <code>sandboxjs</code> で実行しているサーバーを即座に特定する。</p></li> <li><p><strong>即時アップデート:</strong> 修正済みバージョンが提供されている場合、ステージング環境での検証を最小限に抑え、本番適用を優先する。</p></li> <li><p><strong>多層防御への移行計画:</strong> 短期的には修正パッチを適用し、中長期的には <code>isolated-vm</code> への移行や、WebAssembly (Wasm) による実行、あるいはプロセス隔離（gVisor等）へのアーキテクチャ変更を計画する。</p></li> </ol> <h3 class="wp-block-heading">参考文献</h3> <ul class="wp-block-list"> <li><p><a href="https://nvd.nist.gov/">NVD – CVE-2024-XXXX (SandboxJS関連)</a></p></li> <li><p><a href="https://www.jpcert.or.jp/">JPCERT/CC Advisory</a></p></li> <li><p><a href="https://nodejs.org/en/docs/guides/security-best-practices/">Node.js Security Best Practices</a></p></li> </ul>

graph TD
    A["攻撃者: 悪意あるJSコードを注入"] --> B{"SandboxJS実行"}
    B --> C["プロトタイプ汚染 / Proxy悪用"]
    C --> D["サンドボックス外のConstructorへアクセス"]
    D --> E["processオブジェクトの奪取"]
    E --> F["ホストOS上での任意コマンド実行: RCE"]
    F --> G["システム全損 / データ漏洩"]

// 脆弱な例: 単純なSandboxJSの呼び出し
const { Sandbox } = require('sandboxjs');
const runtime = new Sandbox();

// 攻撃者は以下のようなコードを流し込む
// (function(){}).constructor('return process')().mainModule.require('child_process').execSync('rm -rf /');
runtime.evaluate(untrustedCode); 

// より強力な隔離を提供する isolated-vm 等の利用（例）
const ivm = require('isolated-vm');
const isolate = new ivm.Isolate({ memoryLimit: 128 });
const context = isolate.createContextSync();

// グローバルオブジェクトを一切共有しない
const jail = context.global;
jail.setSync('global', jail.derefInto());

// 実行時間の制限（タイムアウト設定）
const script = isolate.compileScriptSync(untrustedCode);
script.runSync(context, { timeout: 100 });

# 実行環境をネットワークから隔離し、読み取り専用にする

docker run --rm \
  --network none \
  --read-only \
  --cap-drop ALL \
  --memory="512m" \
  sandbox-executor-image