調査

脆弱性のあるJavaScriptライブラリを使用するウェブサイトが多数?--米大学調査

Liam Tung (ZDNET.com) 翻訳校正: 編集部

2017-03-13 12:09

 ノースイースタン大学の研究チームが13万3000以上のウェブサイトを分析した結果、その37%に既知の脆弱性を含むJavaScriptライブラリが少なくとも1つはあることが分かった。

 研究チームは2014年の調査結果について、追跡調査を行っている。2014年の調査では、「jQuery」など、古くなったバージョンのJavaScriptライブラリや「AngularJS」フレームワークをブラウザ内で読み込むことで発生する潜在的なセキュリティリスクに注目が集まった。

 ノースイースタン大学の研究チームが最新の論文の中で示しているように、脆弱性のあるライブラリは条件がそろえば実害を及ぼすおそれがある。研究チームが指摘したのは、jQueryの古いクロスサイトスクリプティング(XSS)脆弱性だ。これによって攻撃者は、脆弱性のあるサイトに悪質なスクリプトを注入することが可能になる。

 研究チームは、Amazonの「Alexa Top 75,000」(Alexaの上位7万5000のウェブサイト)リストと無作為に抽出した7万5000の.comドメインを分析し、72種類のライブラリとそれぞれのバージョンを調べた。総合すると、87%のAlexaサイトと46.5%の.comサイトが72種類のライブラリの少なくとも1つを使用している。

 この調査では、「jQueryを含むもののうち36.7%、『Angular』では40.1%、『Handlebars』では86.6%、YUIでは87.3%が脆弱性のあるバージョンを使用している」ことが分かった。さらに、調査対象になったサイトの9.7%は、脆弱性のあるライブラリバージョンを2つ以上使用している。

 ただし、調査対象になったサイトのうち、最も人気の高いサイト群は、脆弱性のあるライブラリが含まれる可能性がほかよりはるかに低いことも分かった。上位100のAlexaサイトのうち、脆弱性のあるライブラリが含まれるサイトはわずか21%だった。

 とはいえ、研究チームはJavaScriptエコシステムのセキュリティの現状について、総合的に見れば混乱した状態にあると考えているようだ。

 状況を改善するのは簡単なことではない。膨大な数のサイトが非常に古いライブラリを使用しているためだ。

 研究者らは、脆弱性が存在する可能性のあるサイトのごくわずか(Alexaサイトの2.8%、.comのサイトの1.6%)がパッチレベルのアップデートを適用することで、脆弱性のない状態にすることができるとしている。「サイトの大半は、より最新のメジャーバージョン、あるいはマイナーバージョンのライブラリを1つ以上インストールする必要があるだろう。それは、互換性に起因する追加のコード変更を必要とする可能性がある」(同研究者)

提供:Northeastern University
提供:Northeastern University

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  4. セキュリティ

    生成AIを利用した標的型攻撃とはどのようなものなのか?実態を明らかにして効果的な対策を考える

  5. セキュリティ

    こんなにあった!従来型SIEMが抱える課題──次世代SIEMに必須の“8つの要件”とは?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]