ウェブサイトの安全性は、運営者が許容する範囲でのみ確保されます。研究者は脆弱性を発見し、組織は常にパッチをリリースしています。しかし、サイトが訪問者、ひいては個人情報を危険にさらさないよう、パッチをインストールするのはサイト運営者の責任です。ノースイースタン大学の調査によると、37%のサイトが少なくとも1つの既知の脆弱性を持つ古いJavaScriptライブラリを使用していることが明らかになったように、多くのサイトはパッチをインストールしていません。
これは、JavaScriptライブラリに定期的なパッチ適用を怠ってきた多くのウェブサイト運営者が、セキュリティ上の脆弱性をすべて解消するために、全く新しいライブラリをインストールしなければならないことを意味します。しかし、これはあまり現実的ではないでしょう。これらのウェブサイトの多くは、何らかの理由があって古いライブラリを使用しており、おそらく運営者が古い技術にこだわっているからではないでしょう。サイトが放置されているか、セキュリティを考慮して構築されていないことが原因である可能性が高いでしょう。
JavaScriptライブラリの作成者や管理者がウェブサイト運営者の負担を軽減したわけではありません。研究者たちは「私に頼るな:ウェブ上の時代遅れのJavaScriptライブラリの利用状況の分析」と題された論文の中で次のように述べています。
おそらく最も厳しい発見は、JavaScriptライブラリのエコシステムがセキュリティに関して複雑で、組織化されておらず、極めて「場当たり的」であるという実証的な証拠です。信頼できる脆弱性データベースは存在せず、ライブラリベンダーが管理するセキュリティメーリングリストも存在しません。リリースノートにはセキュリティ問題に関する詳細がほとんど記載されていないか、全く記載されていません。また、報告された特定の脆弱性がどのバージョンのライブラリに影響を及ぼすかを判断するのが困難な場合も少なくありません。
これらは決して小さな問題ではありません。研究者によると、Alexaウェブサイトの87.7%とランダムに選択されたウェブサイトの46.5%が、jQuery、Handlebars、Angularといった「少なくとも1つのよく知られたJavaScriptライブラリ」を使用しています。これらのオープンソースライブラリは、ノースイースタン大学が分析していない数百万ものサイトで使用されています。これらのライブラリを少なくとも1つ使用しているサイトを一度も訪れたことがないというのは想像しにくいでしょう。
これらのJavaScriptライブラリやその他の脆弱性は、様々な問題を引き起こす可能性があります。ウェブサイト運営者は、脆弱性を悪用してサイトにコードを挿入されるのではないかと懸念するかもしれません。しかし、ユーザーは、セキュリティ上の欠陥を悪用して個人情報を収集されるのではないかとより懸念するかもしれません。研究者たちは次のように説明しています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
攻撃者はこれらの機能を利用して、ユーザーのブラウジングセッションからデータを盗んだり、ユーザーに代わってトランザクションを開始したり、ウェブサイトに偽のコンテンツを掲載したりすることができます。したがって、JavaScriptライブラリは、使用されるウェブサイトにいかなる攻撃ベクトルも持ち込まないようにする必要があります。
どれも面白そうには思えません。しかし、研究者たちは、多くの人気のJavaScriptライブラリが開発者とセキュリティ上の問題を共有していないことも発見しました。
この調査全体を通して、セキュリティアナウンス専用のメーリングリストを持つ人気ライブラリは一つも見つかりませんでした(実際、調査したライブラリのほとんどには、アナウンス専用のメーリングリストが全くありませんでした)。さらに、ユーザーが脆弱性レポートを送信できる専用のメールアドレスを提供しているJavaScriptライブラリ開発者はごくわずかです。ライブラリのリリースノートに脆弱性が修正されたと記載されている場合でも、影響を受けるコードや、どの以前のバージョンが脆弱であるかに関する詳細は記載されていないことがよくあります。
結果として、ウェブサイト運営者がユーザーの安全を守る上で役立たない、ほぼ遍在するJavaScriptライブラリが生まれてしまいました。開発者が古いJavaScriptライブラリを使用していることを認識していなかったり、古いバージョンの技術を使用することでウェブサイトのセキュリティが損なわれるかどうか確信が持てなかったりするだけで、ウェブサイト自体、そのユーザー、そして数え切れないほど多くの人々の個人情報が攻撃に対して脆弱になる可能性があります。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
