<p>[METADATA] { “type”: “security_advisory”, “status”: “draft”, “priority”: “high”, “cve_id”: “CVE-2026-24737”, “affected_component”: “jsPDF (HTML-to-PDF rendering module)”, “threat_category”: “Injection, Denial of Service (DoS)” } [/METADATA] 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">jsPDFにおけるPDF注入およびDoS脆弱性（CVE-2026-24737等）への緊急対策</h1> <h2 class="wp-block-heading">【脅威の概要と背景】</h2> <p>クライアントサイドPDF生成ライブラリのデファクトスタンダードである「jsPDF」において、HTMLレンダリングエンジンの不備に起因する脆弱性（CVE-2026-24737）が特定されました。攻撃者が細工したHTMLソースを<code>html()</code>メソッド等に渡すことで、PDF内への不正コンテンツ注入や、レンダリングループによるブラウザ/プロセスのハングアップ（DoS）を引き起こす可能性があります。2025年後半から2026年初頭にかけて報告が相次いだ一連の「ドキュメント・ガジェット・インジェクション」の一種と位置付けられます。</p> <h2 class="wp-block-heading">【攻撃シナリオの可視化】</h2> <p>攻撃者がユーザー入力を介して悪意のあるペイロードを注入し、正規のPDFドキュメントを改ざん、あるいは閲覧者のリソースを枯渇させるプロセスは以下の通りです。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["攻撃者"] -->|悪意のあるHTML/CSSを送信| B("ウェブアプリケーション") B -->|未検閲の入力を渡す| C{"jsPDF .html メソッド"} C -->|PDF Injection| D["偽の署名欄やリンクを埋め込んだPDF生成"] C -->|Resource Exhaustion| E["再帰的レンダリングによるCPU/メモリ飽和"] D -->|フィッシング| F["エンドユーザーの被害"] E -->|サービス拒否| G["ブラウザフリーズ/サーバーサイドNode.js停止"] </pre></div> <h2 class="wp-block-heading">【安全な実装と設定】</h2> <p>脆弱な実装は、ユーザーからの入力をそのままレンダリングエンジンに渡しています。安全な実装では、DOMPurify等を用いた厳格なサニタイズと、レンダリングオプションの制限が必須です。</p> <h3 class="wp-block-heading">1. 脆弱な実装例（JavaScript）</h3> <div class="codehilite"> <pre data-enlighter-language="generic">// 脆弱：ユーザー入力を直接html()メソッドに渡している const userInput = request.query.content; const doc = new jsPDF(); doc.html(userInput, { callback: function (doc) { doc.save('output.pdf'); } }); </pre> </div> <h3 class="wp-block-heading">2. 安全な代替案（推奨）</h3> <div class="codehilite"> <pre data-enlighter-language="generic">import { jsPDF } from "jspdf"; import DOMPurify from 'dompurify'; // 対策：サニタイズと構成の制限 const userInput = request.query.content; // 1. 許可するタグと属性を最小限に絞り込む（ホワイトリスト形式） const cleanHTML = DOMPurify.sanitize(userInput, { ALLOWED_TAGS: ['b', 'i', 'em', 'strong', 'p', 'br'], ALLOWED_ATTR: [], ALLOW_DATA_ATTR: false }); const doc = new jsPDF({ unit: 'pt', format: 'a4' }); // 2. レンダリング時のタイムアウトやスケール制限（仮想的な保護） doc.html(cleanHTML, { callback: function (doc) { doc.save('secure_output.pdf'); }, // 過度な再帰や巨大なレンダリングを抑制するための設定値を確認 autoPaging: 'text', x: 10, y: 10 }); </pre> </div> <h2 class="wp-block-heading">【検出と緩和策】</h2> <p>システム全体での防御を強化するためのポイントを挙げます。</p> <ul class="wp-block-list"> <li><p><strong>EDR/WAFでの検知</strong>: </p> <ul> <li><p>WAFにおいて、<code><script></code>, <code><iframe></code>, <code><object></code> などのタグ、または <code>data:</code> URIスキームを含むリクエストをブロックするルールを適用します。</p></li> <li><p>大量のリピート文字列（例：<code><div></code>の1000回以上のネスト）を検出するシグネチャを有効化します。</p></li> </ul></li> <li><p><strong>応急的な緩和策（Workaround）</strong>:</p> <ul> <li><p>最新パッチを適用できない場合、一時的に <code>html()</code> メソッドの使用を停止し、プレーンテキストのみの <code>text()</code> メソッドに切り替えます。</p></li> <li><p>Content Security Policy (CSP) で <code>script-src</code> を厳格化し、PDF生成時の副次的なスクリプト実行を防止します。</p></li> </ul></li> </ul> <h2 class="wp-block-heading">【実務上の落とし穴】</h2> <ul class="wp-block-list"> <li><p><strong>過度なサニタイズによるレイアウト崩れ</strong>: 複雑なCSSを多用しているビジネス帳票などの場合、DOMPurifyの制限を強めすぎると、PDFの見た目が崩れる（可用性の低下）リスクがあります。業務要件に合わせた「許容タグ」の精査が必要です。</p></li> <li><p><strong>サーバーサイド（Node.js）での実行</strong>: jsPDFをバックエンドで動かしている場合、DoS攻撃がサーバー全体のプロセスを停止させる可能性があります。<code>worker</code>スレッドで実行し、タイムアウト監視を行うなどのリソース管理が不可欠です。</p></li> </ul> <h2 class="wp-block-heading">【まとめ】</h2> <p>組織のセキュリティ担当者は、直ちに以下の3点を確認・実施してください。</p> <ol class="wp-block-list"> <li><p><strong>ライブラリのバージョン確認</strong>: <code>jsPDF</code> が最新のセキュリティ修正済みバージョンであることを確認し、古い場合は直ちにアップデートする。</p></li> <li><p><strong>サニタイズ処理の徹底</strong>: フロントエンドおよびバックエンドの両方で、PDF化するデータに対して <code>DOMPurify</code> 等の定評あるライブラリによるサニタイズが実装されているかコードレビューを行う。</p></li> <li><p><strong>入力制限の導入</strong>: ユーザー入力の文字数制限や、HTMLタグのネストの深さを制限するバリデーションを追加し、リソース枯渇攻撃（DoS）に対する耐性を高める。</p></li> </ol> <p><strong>参考文献:</strong></p> <ul class="wp-block-list"> <li><p><a href="https://github.com/parallax/jsPDF/security">jsPDF GitHub Repository – Security Advisories</a></p></li> <li><p><a href="https://www.jpcert.or.jp/vuls/">JPCERT/CC: 脆弱性対策の基本</a></p></li> <li><p><a href="https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html">OWASP: Cross-Site Scripting (XSS) Prevention Cheat Sheet</a></p></li> </ul>

graph TD
    A["攻撃者"] -->|悪意のあるHTML/CSSを送信| B("ウェブアプリケーション")
    B -->|未検閲の入力を渡す| C{"jsPDF .html メソッド"}
    C -->|PDF Injection| D["偽の署名欄やリンクを埋め込んだPDF生成"]
    C -->|Resource Exhaustion| E["再帰的レンダリングによるCPU/メモリ飽和"]
    D -->|フィッシング| F["エンドユーザーの被害"]
    E -->|サービス拒否| G["ブラウザフリーズ/サーバーサイドNode.js停止"]

// 脆弱：ユーザー入力を直接html()メソッドに渡している
const userInput = request.query.content; 
const doc = new jsPDF();
doc.html(userInput, {
    callback: function (doc) {
        doc.save('output.pdf');
    }
});

import { jsPDF } from "jspdf";
import DOMPurify from 'dompurify';

// 対策：サニタイズと構成の制限
const userInput = request.query.content;

// 1. 許可するタグと属性を最小限に絞り込む（ホワイトリスト形式）
const cleanHTML = DOMPurify.sanitize(userInput, {
    ALLOWED_TAGS: ['b', 'i', 'em', 'strong', 'p', 'br'],
    ALLOWED_ATTR: [],
    ALLOW_DATA_ATTR: false
});

const doc = new jsPDF({
    unit: 'pt',
    format: 'a4'
});

// 2. レンダリング時のタイムアウトやスケール制限（仮想的な保護）
doc.html(cleanHTML, {
    callback: function (doc) {
        doc.save('secure_output.pdf');
    },
    // 過度な再帰や巨大なレンダリングを抑制するための設定値を確認
    autoPaging: 'text',
    x: 10,
    y: 10
});