ノースイースタン大学の研究チームが13万3000以上のウェブサイトを分析した結果、その37%に既知の脆弱性を含むJavaScriptライブラリが少なくとも1つはあることが分かった。
研究チームは2014年の調査結果について、追跡調査を行っている。2014年の調査では、「jQuery」など、古くなったバージョンのJavaScriptライブラリや「AngularJS」フレームワークをブラウザ内で読み込むことで発生する潜在的なセキュリティリスクに注目が集まった。
ノースイースタン大学の研究チームが最新の論文の中で示しているように、脆弱性のあるライブラリは条件がそろえば実害を及ぼすおそれがある。研究チームが指摘したのは、jQueryの古いクロスサイトスクリプティング(XSS)脆弱性だ。これによって攻撃者は、脆弱性のあるサイトに悪質なスクリプトを注入することが可能になる。
研究チームは、Amazonの「Alexa Top 75,000」(Alexaの上位7万5000のウェブサイト)リストと無作為に抽出した7万5000の.comドメインを分析し、72種類のライブラリとそれぞれのバージョンを調べた。総合すると、87%のAlexaサイトと46.5%の.comサイトが72種類のライブラリの少なくとも1つを使用している。
この調査では、「jQueryを含むもののうち36.7%、『Angular』では40.1%、『Handlebars』では86.6%、YUIでは87.3%が脆弱性のあるバージョンを使用している」ことが分かった。さらに、調査対象になったサイトの9.7%は、脆弱性のあるライブラリバージョンを2つ以上使用している。
ただし、調査対象になったサイトのうち、最も人気の高いサイト群は、脆弱性のあるライブラリが含まれる可能性がほかよりはるかに低いことも分かった。上位100のAlexaサイトのうち、脆弱性のあるライブラリが含まれるサイトはわずか21%だった。
とはいえ、研究チームはJavaScriptエコシステムのセキュリティの現状について、総合的に見れば混乱した状態にあると考えているようだ。
状況を改善するのは簡単なことではない。膨大な数のサイトが非常に古いライブラリを使用しているためだ。
研究者らは、脆弱性が存在する可能性のあるサイトのごくわずか(Alexaサイトの2.8%、.comのサイトの1.6%)がパッチレベルのアップデートを適用することで、脆弱性のない状態にすることができるとしている。「サイトの大半は、より最新のメジャーバージョン、あるいはマイナーバージョンのライブラリを1つ以上インストールする必要があるだろう。それは、互換性に起因する追加のコード変更を必要とする可能性がある」(同研究者)
提供:Northeastern University
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
