<p><style_prompt_version: v2_1_expert_csirt_jp=""></style_prompt_version:></p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">jsPDFにおけるPDF注入・DoS脆弱性（CVE-2024-24737等）の技術詳解と緊急対策</h1> <h3 class="wp-block-heading">【脅威の概要と背景】</h3> <p>jsPDFのHTML変換機能において、入力値の検証不備によるプロトタイプ汚染やPDF注入、リソース枯渇（DoS）を招く深刻な脆弱性が確認されました。（2024年報告、順次修正対応中）</p> <h3 class="wp-block-heading">【攻撃シナリオの可視化】</h3> <p>攻撃者が悪意のあるペイロード（HTML/JavaScript）を、jsPDFを使用してPDF化するアプリケーションに送信した場合のプロセスを以下に示します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["攻撃者"] -->|悪意のあるHTML/Object| B("アプリケーション入力") B -->|サニタイズ不足のまま渡す| C{"jsPDFエンジン"} C -->|プロトタイプ汚染| D["任意のプロパティ操作"] C -->|正規表現処理のループ| E["ブラウザ/サーバのハング: DoS"] C -->|PDF構文の挿入| F["PDF注入: 情報漏洩/フィッシング"] D --> G["XSS実行/リモートコード実行の可能性"] </pre></div> <h3 class="wp-block-heading">【安全な実装と設定】</h3> <p>jsPDFを利用する際、特に<code>html()</code>や<code>addHTML()</code>メソッドにユーザー入力を渡す場合は、厳格なサニタイズが必須です。</p> <h4 class="wp-block-heading">1. 脆弱な実装例（アンチパターン）</h4> <p>ユーザーからの入力をそのままjsPDFの変換メソッドに渡しているケースです。</p> <div class="codehilite"> <pre data-enlighter-language="generic">// 脆弱な例：外部入力をそのままPDF化 const doc = new jsPDF(); const userInput = request.body.htmlData; // 攻撃者が操作可能 doc.html(userInput, { callback: function (doc) { doc.save('output.pdf'); } }); </pre> </div> <h4 class="wp-block-heading">2. 安全な代替案</h4> <p>信頼できるサニタイズライブラリ（DOMPurify等）の併用と、最新版へのアップデートを組み合わせます。</p> <div class="codehilite"> <pre data-enlighter-language="generic">// 安全な例：DOMPurifyによるクリーンアップと最新jsPDFの利用 import { jsPDF } from "jspdf"; import DOMPurify from "dompurify"; const doc = new jsPDF(); const rawInput = request.body.htmlData; // 1. サニタイズ（スクリプトや不正な属性を削除） const cleanHTML = DOMPurify.sanitize(rawInput, { USE_PROFILES: { html: true }, FORBID_ATTR: ['onerror', 'onload', 'style'] // プロトタイプ汚染に繋がる属性を制限 }); // 2. jsPDF v2.5.2以降を使用 doc.html(cleanHTML, { callback: function (doc) { doc.save('secure_output.pdf'); }, // 3. 実行環境の制限（Node.js環境などの場合） autoPaging: 'text' }); </pre> </div> <h3 class="wp-block-heading">【検出と緩和策】</h3> <ul class="wp-block-list"> <li><p><strong>EDR/SIEMでの検知ポイント:</strong></p> <ul> <li><p>WAF/IPSでの<code>__proto__</code>や<code>constructor</code>といったプロトタイプ汚染特有の文字列を含むリクエストの監視。</p></li> <li><p>クライアントサイドでの長時間スクリプト実行（CPUスパイク）の検知。</p></li> </ul></li> <li><p><strong>応急的な緩和策（Workaround）:</strong></p> <ul> <li><p><strong>入力の制限:</strong> PDF出力機能をログイン済みユーザーのみに制限し、入力可能な文字種・長さを最小限に絞る。</p></li> <li><p><strong>CSPの設定:</strong> <code>Content-Security-Policy</code>を適切に設定し、PDF生成時の予期せぬインラインスクリプト実行を防ぐ。</p></li> <li><p><strong>ライブラリの強制更新:</strong> <code>npm audit fix</code> または <code>yarn audit</code> を実行し、jsPDFをv2.5.2以降（または最新の安定版）へ強制アップデートする。</p></li> </ul></li> </ul> <h3 class="wp-block-heading">【実務上の落とし穴】</h3> <ul class="wp-block-list"> <li><p><strong>表示崩れのリスク:</strong> DOMPurify等で厳格にサニタイズを行うと、インラインスタイルや複雑なCSSが削除され、出力されるPDFのレイアウトが崩れる可能性があります。</p></li> <li><p><strong>パフォーマンスの低下:</strong> 大規模なHTMLドキュメントをサニタイズ・変換する場合、クライアントのメモリ消費が急増し、脆弱性を突かれずとも可用性が低下する（自己DoS状態）懸念があります。</p></li> <li><p><strong>Node.js環境の特殊性:</strong> サーバーサイドでjsPDF(jsdom併用)を動かしている場合、脆弱性の影響がサーバープロセス全体に及ぶため、ブラウザ実行時よりもリスク評価を一段階引き上げる必要があります。</p></li> </ul> <h3 class="wp-block-heading">【まとめ】</h3> <p>組織として優先的に実施すべき3項目：</p> <ol class="wp-block-list"> <li><p><strong>依存関係の確認:</strong> <code>package-lock.json</code> 等を確認し、jsPDFが最新版（v2.5.2以降）であることを確認する。</p></li> <li><p><strong>サニタイズの徹底:</strong> 入力値に対して <code>DOMPurify</code> 等の定評あるライブラリが適用されているか、コードレビューを実施する。</p></li> <li><p><strong>入力制限の実装:</strong> HTML入力の代わりに、構造化データ（JSON等）を受け取ってテンプレートエンジンでPDF化する設計への移行を検討する。</p></li> </ol> <hr/> <p><strong>参考文献:</strong></p> <ul class="wp-block-list"> <li><p><a href="https://github.com/parallax/jsPDF/security/advisories">jsPDF GitHub Advisory / CVE-2024-24737</a></p></li> <li><p><a href="https://www.jpcert.or.jp/">JPCERT/CC 脆弱性対策情報</a></p></li> <li><p><a href="https://nvd.nist.gov/vuln/detail/CVE-2024-24737">NIST NVD – CVE-2024-24737</a></p></li> </ul>

graph TD
    A["攻撃者"] -->|悪意のあるHTML/Object| B("アプリケーション入力")
    B -->|サニタイズ不足のまま渡す| C{"jsPDFエンジン"}
    C -->|プロトタイプ汚染| D["任意のプロパティ操作"]
    C -->|正規表現処理のループ| E["ブラウザ/サーバのハング: DoS"]
    C -->|PDF構文の挿入| F["PDF注入: 情報漏洩/フィッシング"]
    D --> G["XSS実行/リモートコード実行の可能性"]

// 脆弱な例：外部入力をそのままPDF化
const doc = new jsPDF();
const userInput = request.body.htmlData; // 攻撃者が操作可能
doc.html(userInput, {
    callback: function (doc) {
        doc.save('output.pdf');
    }
});

// 安全な例：DOMPurifyによるクリーンアップと最新jsPDFの利用
import { jsPDF } from "jspdf";
import DOMPurify from "dompurify";

const doc = new jsPDF();
const rawInput = request.body.htmlData;

// 1. サニタイズ（スクリプトや不正な属性を削除）
const cleanHTML = DOMPurify.sanitize(rawInput, {
    USE_PROFILES: { html: true },
    FORBID_ATTR: ['onerror', 'onload', 'style'] // プロトタイプ汚染に繋がる属性を制限
});

// 2. jsPDF v2.5.2以降を使用
doc.html(cleanHTML, {
    callback: function (doc) {
        doc.save('secure_output.pdf');
    },
    // 3. 実行環境の制限（Node.js環境などの場合）
    autoPaging: 'text'
});