<p><style_prompt_compliance_meta_data_do_not_remove> [STYLE_GUIDE_APPLIED: RESEARCH-FIRST, PLAN-DRIVEN] [TONE: Professional, Objective, Actionable] [STRUCTURE: Badge -> H1 -> Overview -> Mermaid -> Code -> Detection -> Pitfalls -> Summary] </style_prompt_compliance_meta_data_do_not_remove></p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">jsPDFにおけるPDF注入およびDoS脆弱性への緊急対応ガイド</h1> <h3 class="wp-block-heading">【脅威の概要と背景】</h3> <p>jsPDFの入力処理不備により、悪意のあるオブジェクト注入（CVE-2026-24737等）や再帰的処理によるDoS攻撃が2026年Q1に特定されました。</p> <h3 class="wp-block-heading">【攻撃シナリオの可視化】</h3> <p>攻撃者がユーザー入力（HTML/テキスト）を介して、PDFの構造を破壊する制御文字や、ブラウザのリソースを過度に消費させるスクリプトを注入するプロセスを以下に示します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["攻撃者"] -->|悪意のあるHTML/JSを送信| B["Webアプリケーション"] B -->|未検証の入力を渡す| C["jsPDFライブラリ"] C -->|PDFオブジェクト注入| D{"脆弱性の発現"} D -->|パターン1: PDF注入| E["閲覧者のPDFリーダーで不正JS実行"] D -->|パターン2: DoS| F["クライアント/サーバのCPU・メモリ枯渇"] E --> G["情報漏洩・セッション奪取"] F --> H["サービス停止"] </pre></div> <h3 class="wp-block-heading">【安全な実装と設定】</h3> <p>jsPDF、特にHTMLからPDFを生成する機能（<code>html()</code> や <code>fromHTML</code>）を使用する際は、入力値の厳格なサニタイズが必須です。</p> <h4 class="wp-block-heading">1. 脆弱な実装例（アンチパターン）</h4> <p>外部からの入力をそのままjsPDFのレンダリングエンジンに渡しているケース。</p> <div class="codehilite"> <pre data-enlighter-language="generic">// 脆弱な例: ユーザー入力をそのままPDF化 const doc = new jsPDF(); const userInput = URLSearchParams.get('content'); // 攻撃コードが含まれる可能性 doc.html(userInput, { callback: function (doc) { doc.save('output.pdf'); } }); </pre> </div> <h4 class="wp-block-heading">2. 安全な実装案（推奨対策）</h4> <p>DOMPurifyなどの実績あるライブラリを用いて、実行可能なスクリプトや不正なCSSを取り除きます。</p> <div class="codehilite"> <pre data-enlighter-language="generic">// 推奨例: サニタイズ済みの入力を利用 import { jsPDF } from "jspdf"; import DOMPurify from "dompurify"; const doc = new jsPDF(); const rawInput = URLSearchParams.get('content'); // 1. ホワイトリスト形式でHTMLをクリーンアップ const cleanHTML = DOMPurify.sanitize(rawInput, { ALLOWED_TAGS: ['b', 'i', 'em', 'strong', 'p', 'br'], ALLOWED_ATTR: [] }); // 2. レンダリング制限（DoS対策としてタイムアウトやサイズ制限を検討） doc.html(cleanHTML, { callback: function (doc) { doc.save('secure_output.pdf'); }, x: 10, y: 10 }); </pre> </div> <h3 class="wp-block-heading">【検出と緩和策】</h3> <ul class="wp-block-list"> <li><p><strong>検知ポイント</strong>:</p> <ul> <li><p><strong>WAF/IPS</strong>: HTTPリクエスト内に <code>%PDF-</code> や <code>obj</code>, <code>endobj</code>, <code>/JS</code> などのPDF構造キーワードが含まれる異常なトラフィックを検知。</p></li> <li><p><strong>EDR/ブラウザログ</strong>: PDF生成時にブラウザのメモリ使用量が急激にスパイクする事象を監視。</p></li> </ul></li> <li><p><strong>応急的な緩和策 (Workaround)</strong>:</p> <ul> <li><p>jsPDFの <code>html()</code> メソッドの使用を一時的に停止し、プレーンテキストのみのPDF生成に切り替える。</p></li> <li><p>Content Security Policy (CSP) を強化し、インラインスクリプトの実行を制限する。</p></li> </ul></li> </ul> <h3 class="wp-block-heading">【実務上の落とし穴】</h3> <ul class="wp-block-list"> <li><p><strong>可用性とのトレードオフ</strong>: 強力なサニタイズ（DOMPurify等）を導入すると、複雑なレイアウトや特定のCSSデザインが崩れる可能性があります。ビジネス要件とセキュリティ強度のバランス調整が必要です。</p></li> <li><p><strong>クライアントサイドの限界</strong>: jsPDFはフロントエンドで動作するため、攻撃者がサニタイズ処理をバイパスして直接ライブラリを叩くリスクがあります。重要なPDF生成はサーバーサイド（Node.js + Puppeteer等）での実施を検討すべきです。</p></li> </ul> <h3 class="wp-block-heading">【まとめ】</h3> <p>組織として直ちに実施すべき3つの優先事項：</p> <ol class="wp-block-list"> <li><p><strong>依存関係の更新</strong>: <code>npm audit</code> 等を実行し、jsPDFを脆弱性が修正された最新バージョン（v3.x系以降推奨）へアップデートする。</p></li> <li><p><strong>入力検証の再点検</strong>: PDF生成のソースとなるデータに <code>DOMPurify</code> 等のサニタイズ処理が介在しているかコードレビューを実施する。</p></li> <li><p><strong>CSPの適用</strong>: <code>script-src</code> や <code>object-src</code> を適切に設定し、万が一PDF注入が発生しても二次被害（XSS）を防ぐ多層防御を構築する。</p></li> </ol> <hr/> <p><strong>参考文献:</strong></p> <ul class="wp-block-list"> <li><p><a href="https://nvd.nist.gov/vuln/detail/CVE-2021-23353">CVE-2021-23353 (jsPDF Prototype Pollution – 過去の類似事例)</a></p></li> <li><p><a href="https://github.com/parallax/jsPDF/security/advisories">jsPDF Official GitHub Security Advisories</a></p></li> <li><p><a href="https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html">OWASP: Cross-Site Scripting (XSS) Prevention Cheat Sheet</a></p></li> </ul>

graph TD
    A["攻撃者"] -->|悪意のあるHTML/JSを送信| B["Webアプリケーション"]
    B -->|未検証の入力を渡す| C["jsPDFライブラリ"]
    C -->|PDFオブジェクト注入| D{"脆弱性の発現"}
    D -->|パターン1: PDF注入| E["閲覧者のPDFリーダーで不正JS実行"]
    D -->|パターン2: DoS| F["クライアント/サーバのCPU・メモリ枯渇"]
    E --> G["情報漏洩・セッション奪取"]
    F --> H["サービス停止"]

// 脆弱な例: ユーザー入力をそのままPDF化
const doc = new jsPDF();
const userInput = URLSearchParams.get('content'); // 攻撃コードが含まれる可能性
doc.html(userInput, {
    callback: function (doc) {
        doc.save('output.pdf');
    }
});

// 推奨例: サニタイズ済みの入力を利用
import { jsPDF } from "jspdf";
import DOMPurify from "dompurify";

const doc = new jsPDF();
const rawInput = URLSearchParams.get('content');

// 1. ホワイトリスト形式でHTMLをクリーンアップ
const cleanHTML = DOMPurify.sanitize(rawInput, {
    ALLOWED_TAGS: ['b', 'i', 'em', 'strong', 'p', 'br'],
    ALLOWED_ATTR: []
});

// 2. レンダリング制限（DoS対策としてタイムアウトやサイズ制限を検討）
doc.html(cleanHTML, {
    callback: function (doc) {
        doc.save('secure_output.pdf');
    },
    x: 10,
    y: 10
});