HTML5で生じる脆弱性と対策は？ JPCERT/CCが報告書公開：HTML5を利用した安全なWebアプリ開発のために

JPCERTコーディネーションセンターは、HTML5およびその周辺技術の利用によって生じ得る脆弱性とその対策、HTML5で追加されたセキュリティ機能などについてまとめた調査報告書を公開した。

[高橋睦美，＠IT]

　JPCERTコーディネーションセンター（JPCERT/CC）は2013年10月30日、HTML5およびその周辺技術の利用によって生じ得る脆弱性とその対策、HTML5で追加されたセキュリティ機能などについてまとめた「HTML5を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」を公開した。調査作業の一部は、ネットエージェントが委託を受けて実施した。報告書は、JPCERT/CCのWebサイトから無償でダウンロード可能だ。

　次世代のHTMLとして注目を集めるHTML5は、ブラウザ内でのデータ格納、クライアントとサーバ間での双方向通信、位置情報の取得などが可能となり、従来よりも柔軟かつ利便性の高いWebサイト構築が可能になると期待されている。一方で、こうした技術が攻撃者に悪用された場合の影響については、まだ検証、周知が進んでおらず、「セキュリティ対策がされないまま普及が進むことが危惧される」（JPCERT/CC）。

　報告書はこうした問題意識に立ち、HTML5を利用した安全なWebアプリケーション開発のための技術書やガイドラインのベースとなる体系的な資料を目指してまとめられた。

　具体的には、「クロスサイト・スクリプティング」や「クロスサイト・リクエスト・フォージェリ」といった従来から存在したWebアプリケーションの脆弱性が、HTML5で加わった新たな要素や属性を利用した場合にどのように発現する可能性があるかを解説し、新たに必要となる対策や考慮事項を紹介。また、HTML5で新たに追加されたvideoやaudioといったHTML要素やJavaScript API、XMLHttpRequestを利用した場合に作り込まれやすい脆弱性と対策も解説している。

　さらに、X-XSS-ProtectionやX-Content-Type-Optionsなど、一部のブラウザが実装している新しいセキュリティ機能にも触れている。