JPCERT/CCは2013年10月30日、「HTML5を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」を公開した。HTML5について「利便性が向上する一方で、それらの新技術が攻撃者に悪用された際にユーザが受ける影響に関して、十分に検証や周知がされているとは言えず、セキュリティ対策がされないまま普及が進むことが危惧されている」と指摘。安全なWebアプリケーション開発のための技術書やガイドラインのベースとなる体系的な資料の提供を目的として調査を行ったという。

 調査報告書では「クロスサイト・スクリプティング(XSS)」「クロスサイト・リクエスト・フォージェリ(CSRF)」「オープンリダイレクト」「アクセス制御や認可制御の欠落」の4つの脆弱性に焦点を当て分析している。

 例えばXSSについて、HTML5では新要素および新属性、DOM、XHR Level2、Ajaxといった「従来とは異なった経緯で作り込まれ得るXSSの脆弱性」を解説している。

 CSRFについてはHTML5の「クロスオリジン通信」と呼ぶ機能により「従来はCSRFの脆弱性がなかったWebサイトにもCSRF攻撃が行われる可能性がある」と指摘。「アクセス制御や認可制御の欠落」についても、「HTML5で追加された機能を攻撃者が利用すると、従来はアクセスすることができなかった情報がアクセス可能になる場合がある」と警告している。

 報告書ではこれらHTML5で懸念される脆弱性について解説するとともに、その対策を紹介している。

[発表資料]