HTML5の利用により、Webサイト閲覧者のブラウザ内でのデータ格納、クライアントとサーバ間での双方向通信、位置情報の取得など利便性の高いWebサイトの構築が可能となる一方で、それらの新技術が攻撃者に悪用された際にWebサイト閲覧者が受ける影響に関して、十分に検証や周知がされているとは言えず、セキュリティ対策がされないまま普及が進むことが危惧されている。
JPCERT/CCでは、2013年10月に「HTML5 を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」を公開した。本報告書の調査は、HTML5 を利用した Web アプリケーションを開発する際に注意すべき点や、HTML5 への移行が Web アプリケーションのセキュリティに及ぼす影響などについて、現時点における知見を可能な限り体系的に整理し、Web セキュリティ研究者および Webアプリケーション開発者のための基礎資料を提供することを目指した。
本講演では、この調査報告書をもとに、HTML5 を利用した Web アプリケーション開発時のセキュリティ上の注意点をデモを交えて対策とともに紹介する。また、約 95 万サイトを対象としたレスポンスヘッダのデータから見えてきた、HTML5 を利用したWeb アプリケーションの危険な実装とその対策や、HTML5 を使用した Web アプリケーションのセキュリティに関する現状なども併せて紹介する。
重森 友行 - Tomoyuki Shigemori
一般社団法人JPCERTコーディネーションセンター 早期警戒グループ 情報セキュリティアナリスト。
JPCERT/CC 早期警戒グループ情報分析ラインにおいて情報セキュリティアナリストとして従事。主に情報収集や早期警戒情報のf提供などを行っている。
オープンソースカンファレンス 2013 .Enterprise、Parallels Summit 2013 Japan など、非公開のものも含めた多数の講演を行い、 「サイバー攻撃からビジネスを守る(NTT出版)」等の書籍の共著も行っている。