多数のWebサイトにJavaScriptプロトタイプ汚染の脆弱性あり、セキュリティ研究者が発見：公開情報が少なく対策が不十分

サイバーセキュリティツールベンダーのPortSwiggerは、セキュリティ研究者「s1r1us」氏のブログで発表された調査報告を紹介した。広く使われている18のJavaScriptライブラリに、プロトタイプ汚染の脆弱性があることが明らかになったという。

[＠IT]

　サイバーセキュリティツールベンダーのPortSwiggerは、2021年10月5日（米国時間）、セキュリティ研究者s1r1us氏のブログで2021年9月に発表された調査報告を紹介した。広く使われている18のJavaScriptライブラリに、プロトタイプ汚染の脆弱（ぜいじゃく）性があることが明らかになったという。

　プロトタイプ汚染はプロトタイプをベースにしたJavaScriptオブジェクトの構造を標的にした攻撃手法を指す。

Apple.comにもこの脆弱性あり

　s1r1us氏とBlackFan氏を中心とした研究チームが調査を行い、18のJavaScriptライブラリにプロトタイプ汚染の脆弱性が80件以上存在し、これらの脆弱性の影響を受けるWebサイトが1000以上あることを発見した。

　例えばApple.comや、「Jira Service Management」「HubSpot Analytics」「Segment Analytics」をはじめとするさまざまな有名サイトも含まれている。研究チームはこの80件以上の脆弱性を脆弱性開示プログラムに報告し、合計4万ドルのバグ発見報奨金を得た。

　PortSwiggerはJavaScriptの利便性と危険性を次のように説明している。「JavaScriptはWebのフロントエンド開発などに使われる。開発者はJavaScriptにより、プログラムの基本要素であるオブジェクトのプロパティと関数を動的に変更できる。だが、この柔軟性にはトレードオフがある。プログラマーが注意を怠ると、攻撃者がアプリケーションのセキュリティホールを突いて、オブジェクトのプロトタイプに悪意あるコードを注入する恐れがある」

プロトタイプ汚染の脆弱性発見に使われたツールと技術

　プロトタイプ汚染を利用した攻撃はどこから始まるのだろうか。