<p><!-- METADATA: SYSTEM_SECURITY_ADVISORY_CVE-2026-24737 -->本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">jsPDFにおけるPDF注入およびDoS脆弱性（CVE-2026-24737等）の脅威と、今すぐ実施すべき安全な実装対策</h1> <h3 class="wp-block-heading">【脅威の概要と背景】</h3> <p>jsPDFの入力検証不備によるPDF注入とDoS脆弱性（CVE-2026-24737等、2026年公開）の影響と対策を解説します。</p> <hr/> <h3 class="wp-block-heading">【攻撃シナリオの可視化】</h3> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["攻撃者: 悪意あるHTML/JSを含む入力"] -->|ユーザー入力をそのままjsPDFに渡す| B["Webアプリケーション"] B -->|不適切なエスケープ処理| C["jsPDFエンジン"] C -->|不正なPDFオブジェクトの注入| D["PDF注入: 不正スクリプト実行 / 悪意あるリンク"] C -->|再帰的パーシング / 無限ループ| E["DoS: CPU高負荷・ブラウザフリーズ"] </pre></div> <p>攻撃者は、信頼できない入力値（HTMLタグやPDF構造を破壊する特殊文字）をWebアプリケーションに送信します。アプリケーションがjsPDFの <code>html()</code> や <code>text()</code> メソッドにこれらを安全に処理せず渡した場合、PDFの構造が改ざんされて任意のコンテンツ（不正なJavaScriptを含むアノテーション等）が埋め込まれる（PDF注入）、あるいはパーサーがクラッシュしクライアント環境でDoSが引き起こされます。</p> <hr/> <h3 class="wp-block-heading">【安全な実装と設定】</h3> <h4 class="wp-block-heading">誤用（脆弱な書き方）</h4> <p>ユーザーから提供されたHTML文字列をそのまま <code>html()</code> メソッドに渡してPDFをレンダリングしています。これにより、悪意あるスクリプトやPDF制御文字がインジェクションされるリスクが生じます。</p> <div class="codehilite"> <pre data-enlighter-language="generic">import { jsPDF } from "jspdf"; // 脆弱な例：ユーザーの入力をそのままHTMLとしてレンダリングする function generatePDF(userInput) { const doc = new jsPDF(); // ユーザー入力をサニタイズせずに直接html()メソッドに流し込んでいる doc.html(userInput, { callback: function (doc) { doc.save("output.pdf"); } }); } </pre> </div> <h4 class="wp-block-heading">安全な代替案</h4> <p>信頼できるサニタイズライブラリ（DOMPurify等）を用いて入力を厳格にフィルタリングし、許可された安全なタグ・属性のみを有効化するか、プレーンテキストとして出力します。</p> <div class="codehilite"> <pre data-enlighter-language="generic">import { jsPDF } from "jspdf"; import DOMPurify from "dompurify"; // 信頼性の高いサニタイズライブラリの利用 // 安全な例：入力を厳格にサニタイズし、プレーンテキストとして処理するか、安全なHTMLのみを許可する function generatePDFSafe(userInput) { const doc = new jsPDF(); // 1. HTMLを生成する場合はDOMPurifyで厳格にサニタイズ（最小権限の原則に基づく許可） const cleanHTML = DOMPurify.sanitize(userInput, { ALLOWED_TAGS: ['b', 'i', 'p', 'span', 'br'], // 必要な装飾タグのみに限定 ALLOWED_ATTR: [] // 属性（特にhrefやonload等）は原則禁止 }); // 2. レンダリングの実行 doc.html(cleanHTML, { callback: function (doc) { doc.save("output.pdf"); }, x: 10, y: 10 }); } </pre> </div> <h4 class="wp-block-heading">具体的な保護策（最小権限とインフラ）</h4> <ol class="wp-block-list"> <li><p><strong>コンテキストの分離（サンドボックス化）</strong>: フロントエンドでPDF生成を行う場合、メインスレッドのDOM環境から隔離するため、サンドボックス化された <code><iframe></code> やWeb Worker内でのみjsPDFを実行することを推奨します。</p></li> <li><p><strong>入力サイズ・リソース制限</strong>: DoS（リソース枯渇）攻撃を防ぐため、PDFに変換する入力文字列の最大長（文字数・バイト数）に上限を設け、アプリケーションの境界（フロントエンド/バックエンドの初期バリデーション）で超過データを拒否します。</p></li> </ol> <hr/> <h3 class="wp-block-heading">【検出と緩和策】</h3> <ul class="wp-block-list"> <li><p><strong>検出ポイント（SIEM/WAF/EDR等）</strong>:</p> <ul> <li><p><strong>WAFでのシグネチャ検知</strong>: HTTPリクエストのパラメータ内に、PDFの内部オブジェクト構造を示す特異なパターン（例：<code>%PDF-</code>、<code>/JS</code>、<code>/JavaScript</code>、<code>/Launch</code> など）や、不自然にネストされた不正なHTMLタグの検出。</p></li> <li><p><strong>クラッシュ・リソース監視</strong>: クライアントサイドでのJavascriptエラー率の急増（特に「Maximum call stack size exceeded」やブラウザの応答停止イベント）を検知・監視。</p></li> </ul></li> <li><p><strong>応急的な緩和策（Workaround）</strong>:</p> <ul> <li>即座にアップデートが適用できない場合、一時的に <code>doc.html()</code> への入力を完全に遮断、もしくはプレーンテキスト出力メソッド（<code>doc.text()</code>）へ強制的にフォールバックさせるパッチを適用します。</li> </ul></li> </ul> <hr/> <h3 class="wp-block-heading">【実務上の落とし穴】</h3> <ul class="wp-block-list"> <li><p><strong>誤検知（False Positive）のリスク</strong>:</p> <ul> <li>開発者やユーザーが、数式（「%」や「/」を多用する表現）やプログラムコードなどの正規データをPDF化しようとした際、WAFのインジェクションルールに抵触し、正常な業務処理が誤ってブロックされる可能性があります。</li> </ul></li> <li><p><strong>可用性とセキュリティのトレードオフ</strong>:</p> <ul> <li>サニタイズ（DOMPurify等）を厳格に適用しすぎると、インラインスタイルや複雑な入れ子構造の表組み（tableタグ）などが無効化され、デザイン崩れや必要なドキュメント構造の欠落を招きます。業務で許容される表現範囲とセキュリティ強度のバランスを考慮したホワイトリスト設計が必要です。</li> </ul></li> </ul> <hr/> <h3 class="wp-block-heading">【まとめ】</h3> <p>組織として今すぐ確認・実施すべき3つの優先事項：</p> <ol class="wp-block-list"> <li><p><strong>ライブラリのアップデート確認</strong>: 依存関係（npm/yarn等のパッケージ管理）における <code>jspdf</code> のバージョンを早急に監査し、CVE-2026-24737等の脆弱性が修正された最新のセキュアバージョンへ更新する。</p></li> <li><p><strong>入力サニタイズプロセスの強制</strong>: ユーザー入力からPDFを自動生成する全エンドポイントに対し、DOMPurify等を用いた厳格なホワイトリスト方式のHTMLサニタイズを実装する。</p></li> <li><p><strong>境界防御と流量制限</strong>: 大規模なファイルや長大データのインプットを防止するため、アプリケーション層での入力文字数制限（バリデーション）を直ちに有効化する。</p></li> </ol> <hr/> <p><strong>参考文献</strong></p> <ul class="wp-block-list"> <li><p>GitHub – parallax/jsPDF: <a href="https://github.com/parallax/jsPDF">https://github.com/parallax/jsPDF</a></p></li> <li><p>National Vulnerability Database (NVD): <a href="https://nvd.nist.gov/">https://nvd.nist.gov/</a></p></li> <li><p>JPCERT/CC: <a href="https://www.jpcert.or.jp/">https://www.jpcert.or.jp/</a></p></li> </ul>

graph TD
    A["攻撃者: 悪意あるHTML/JSを含む入力"] -->|ユーザー入力をそのままjsPDFに渡す| B["Webアプリケーション"]
    B -->|不適切なエスケープ処理| C["jsPDFエンジン"]
    C -->|不正なPDFオブジェクトの注入| D["PDF注入: 不正スクリプト実行 / 悪意あるリンク"]
    C -->|再帰的パーシング / 無限ループ| E["DoS: CPU高負荷・ブラウザフリーズ"]

import { jsPDF } from "jspdf";

// 脆弱な例：ユーザーの入力をそのままHTMLとしてレンダリングする
function generatePDF(userInput) {
    const doc = new jsPDF();

    // ユーザー入力をサニタイズせずに直接html()メソッドに流し込んでいる
    doc.html(userInput, {
        callback: function (doc) {
            doc.save("output.pdf");
        }
    });
}

import { jsPDF } from "jspdf";
import DOMPurify from "dompurify"; // 信頼性の高いサニタイズライブラリの利用

// 安全な例：入力を厳格にサニタイズし、プレーンテキストとして処理するか、安全なHTMLのみを許可する
function generatePDFSafe(userInput) {
    const doc = new jsPDF();

    // 1. HTMLを生成する場合はDOMPurifyで厳格にサニタイズ（最小権限の原則に基づく許可）
    const cleanHTML = DOMPurify.sanitize(userInput, {
        ALLOWED_TAGS: ['b', 'i', 'p', 'span', 'br'], // 必要な装飾タグのみに限定
        ALLOWED_ATTR: [] // 属性（特にhrefやonload等）は原則禁止
    });

    // 2. レンダリングの実行
    doc.html(cleanHTML, {
        callback: function (doc) {
            doc.save("output.pdf");
        },
        x: 10,
        y: 10
    });
}