An Analysis of Modern Web Security Vulnerabilities Inside WebAssembly Applications

この論文は、WebAssembly モジュールにおけるバッファオーバーフローなどのバイナリ脆弱性が、SQL インジェクションや XS-Leaks といった Web 固有のセキュリティ侵害を引き起こし、既存の防御策を無効化する可能性を示し、そのリスクを軽減するためのベストプラクティスを提案しています。

要約

🍳 要約：料理屋の「魔法の箱」が暴走した話

1. 背景：なぜ WebAssembly（WASM）が必要なのか？

昔のウェブサイト（JavaScript）は、**「手書きのレシピ」**で料理を作っているようなものでした。美味しいですが、大人数に料理を出すには少し時間がかかります。

そこで登場したのが**WebAssembly（WASM）です。これは「すでに完成された、高速な冷凍食品」**のようなものです。

• メリット: 非常に速く、重い処理（画像編集やゲームなど）もサクサク動きます。Figma や Google アースなど、多くの有名サイトがこれを使っています。
• 問題点: この「冷凍食品（WASM）」は、中身が**「C 言語」という古い言語で作られています。C 言語には、昔ながらの「調理ミス（バグ）」**が潜んでいることがあり、それがウェブサイト全体を危険にさらす可能性があります。

2. 発見：小さなミスをきっかけに、大惨事が起きる

研究者たちは、「C 言語の『調理ミス』が、ウェブサイトの『セキュリティ』をどう壊すか」をシミュレーションしました。

【3 つの具体的なシナリオ】

① SQL インジェクション（データベースへの侵入）

• 状況: 料理屋（WASM）が、客の注文（入力）をデータベースに記録します。通常は「注文内容」をそのまま記録する安全な方法を使っています。
• 攻撃: しかし、料理屋の棚（メモリ）に**「隣りの皿が溢れて、注文メモを書き換える」というミス（バッファオーバーフロー）があると、客は「普通の注文」を装いながら、実は「データベースのルールを書き換える指令」**を混ぜ込むことができます。
• 結果: 本来は「自分の注文だけ」を見るはずなのに、「全店の顧客リスト」や「パスワード」を盗み見られてしまうことになります。

② サーバーサイドテンプレートインジェクション（SSTI）

• 状況: 料理屋が「今日のメニュー表（HTML）」を作るために、一時的な「秘密の暗号（ノンス）」を使います。
• 攻撃: 料理屋の棚が溢れるミス（バッファオーバーフロー）や、使い捨ての皿を再利用するミス（Use After Free）があると、その「秘密の暗号」の場所に、**「料理屋の厨房で勝手に料理を作る命令」**を書き込まれてしまいます。
• 結果: ウェブサイトは「安全な暗号だ」と信じてその命令を実行してしまい、サーバー自体が乗っ取られたり、悪意のあるコードが実行されたりします。

③ XS-Leaks（情報漏洩の「待ち時間」攻撃）

• 状況: 料理屋が、客の秘密の好み（パスワードなど）を照合します。通常は、外部からは中身が見えません。
• 攻撃: 料理屋に**「非常に複雑な計算（正規表現の悪用）」**をさせるよう仕向けます。
  • 「秘密の言葉が『A』から始まる」→ 計算が簡単で、**「すぐに返事」**が来る。
  • 「秘密の言葉が『A』から始まらない」→ 計算が複雑で、「長い間待たされる」。
• 結果: 客は中身を見られませんが、**「返事が来るまでの時間」を測ることで、「秘密の言葉が何文字目まで合っているか」**を推理し、最終的にパスワードをすべて解読してしまいます。

3. なぜこれが難しいのか？（研究者の視点）

• 従来の対策は効かない: 「SQL インジェクション対策として『準備済みステートメント』を使う」という一般的なルールは、**「料理屋自体が壊れている（メモリが書き換わる）」**状態では無効になります。
• 見えない敵: ウェブサイト自体は安全に見えても、裏で動いている「冷凍食品（WASM）」が壊れていると、全体が危険にさらされます。

4. 対策：どうすれば安全に使えるのか？

研究者は、以下の「安全な調理マニュアル」を提案しています。

1. 境界線を厳しく守る: JavaScript（注文係）と WASM（料理屋）の間でやり取りするデータは、**「すべて怪しいもの」**として扱い、厳重にチェックする。
2. 必要なものだけ渡す: 料理屋に渡す道具（関数やメモリ）は、最低限のものに絞る。余計な道具があれば、それを使って悪さをする可能性があるから。
3. 安全な調理器具を使う: コンパイラ（料理を作る機械）に、**「棚が溢れたらアラートを出す機能」や「使い捨ての皿を再利用しない機能」**をオンにする。少し遅くなるかもしれないが、安全は最優先。

💡 結論

WebAssembly は素晴らしい技術ですが、**「高速だからといって、中身（C 言語のバグ）を甘く見てはいけない」**という教訓です。

まるで**「高機能な自動調理機」**を導入したレストランが、その機械の内部に潜む小さな故障によって、客の財布を盗まれるようなものです。開発者は、この「魔法の箱」の中身も、従来のウェブサイトと同じくらい慎重に守る必要があります。

技術概要

論文「WebAssembly アプリケーション内の現代の Web セキュリティ脆弱性の分析」の技術的概要

この論文は、WebAssembly（WASM）の急速な普及に伴い、C や C++ などの低レベル言語からコンパイルされたバイナリが Web 環境に持ち込む新たなセキュリティリスクを分析したものです。特に、WASM モジュール内のメモリ安全性の欠陥（バッファオーバーフローや Use-After-Free など）が、どのようにして SQL インジェクションや XS-Leaks といった高レベルな Web 脆弱性へと転嫁されるかを実証的に示しています。

以下に、問題定義、手法、主要な貢献、結果、および意義について詳細にまとめます。

---

1. 問題定義 (Problem)

WebAssembly は、JavaScript 時代には難しかった高速でリソース集約的なアプリケーションを Web 上で実行可能にしましたが、そのセキュリティモデルには課題が残っています。

• 低レベル保護の欠如: WASM は、スタック・キャナリー、ASLR（アドレス空間配置のランダム化）、安全なリンク解除など、従来のネイティブ C プログラムに存在する防御機構の多くを欠いています。
• 脆弱性の転嫁: 研究者はこれまでに WASM 自体のバイナリ脆弱性を指摘してきましたが、**「WASM モジュール内の低レベルなバグが、ホスト Web アプリケーションのセキュリティをどのように侵害するか」**という連鎖的な攻撃経路の分析は不足していました。
• 既存対策の限界: 従来の Web セキュリティ対策（入力値のサニタイズやプリペアドステートメントなど）は、WASM モジュール内部でメモリ破損が発生し、クエリ文字列やテンプレート変数が書き換えられた場合、無効化される可能性があります。

2. 手法 (Methodology)

著者らは、WASM モジュールのバイナリ脆弱性と Web レベルの攻撃を結びつける再現可能な手法（PoC）を開発しました。

• 実験環境:
  • フロントエンド: Node.js/Express を使用。
  • バックエンド: C 言語で記述され、Emscripten でコンパイルされた WASM モジュール。
  • データベース: SQLite。
  • テンプレートエンジン: Pug。
  • 正規表現エンジン: PCRE2。
• 分析対象の脆弱性:
  • バイナリ側: スタックベースのバッファオーバーフロー、Use-After-Free (UAF)、整数オーバーフロー、制御されていないフォーマット文字列。
  • Web 側: SQL インジェクション (SQLi)、サーバーサイドテンプレートインジェクション (SSTI)、クロスサイトリーク (XS-Leaks)。
• 分類: 脆弱性を「直接/連鎖的（Chained）」および「盲（Blind）/非盲」に分類し、攻撃ベクトルを体系的に評価しました。

3. 主要な貢献 (Key Contributions)

1. 低レベルバグから Web 攻撃への転嫁の実証: メモリ破損バグが SQLi、SSTI、XS-Leaks などの具体的な Web 攻撃にどう利用されるかを、実用的な PoC で示しました。
2. 再現可能な攻撃手法の提示: 各攻撃シナリオに対して、Python スクリプトや Docker コンテナを用いた完全な再現環境を提供し、攻撃の自動化と影響評価の手法を確立しました。
3. WASM 固有の攻撃面の特定: WASM のメモリレイアウトや JS-WASM 間の境界（Imports/Exports）が、どのようにセキュリティに影響を与えるかを定量化し、従来の Web 分析では見落とされがちなリスクを浮き彫りにしました。
4. 防御策の提案: コンパイル時のフラグ設定、ランタイムの硬化、境界での入力検証など、開発者が即座に実装可能な防御戦略を提示しました。

4. 実験結果と詳細 (Results)

4.1 SQL インジェクション (SQLi)

WASM モジュール内でクエリ文字列が管理されている場合、バイナリ脆弱性によりプリペアドステートメントの保護を回避できます。

• スタックベースのバッファオーバーフロー: 隣接するバッファのオーバーフローにより、パラメータ化されたクエリ文字列自体を上書きし、悪意のある SQL を実行可能にしました。
• 整数オーバーフロー: JavaScript の 64 ビット浮動小数点整数と C の 32 ビット整数の不一致を利用。JS 側では「0 ではない」と判定される値（例: $2^{32}-1$）を WASM 側に渡すと、32 ビット整数でオーバーフローして 0 になり、制限されたレコード（ID 0）にアクセスできてしまいました。
• UAF: 解放されたクエリ文字列のメモリ領域を、攻撃者の入力（トークン）で再割り当てし、ダングリングポインタを通じて悪意のある SQL を実行させました。

4.2 サーバーサイドテンプレートインジェクション (SSTI)

WASM が生成する出力（例: 安全な nonce 値）を Web アプリが信頼し、テンプレートエンジンに渡す際、WASM 内のバグがテンプレート構文の注入を許容します。

• バッファオーバーフロー/UAF: WASM 内で生成された nonce 変数（スタックまたはヒープ上）を攻撃者のテンプレート構文（例: #{7*7}）で上書きし、フロントエンドのレンダリング時に任意コード実行（ACE）を誘発しました。
• 結果: WASM 自体が XSS 対策を行っていても、出力されたデータがテンプレートエンジンによって解釈されることで、SSTI が発生することが実証されました。

4.3 XS-Leaks (クロスサイトリーク)

WASM 内の秘密情報（ユーザーのシークレット）を、応答時間の遅延（サイドチャネル）を通じて推測する攻撃です。

• ReDoS (Regular Expression Denial of Service) 利用: WASM 内の検索パターン変数を、攻撃者が制御可能な ReDoS 用正規表現（例: ^(secret_prefix(.+){21})）に上書きします。
• 攻撃フロー: 攻撃者は CSRF とバイナリ脆弱性を組み合わせてパターンを書き換え、被害者のブラウザに検索を実行させます。秘密が一致すると正規表現エンジンが長時間処理を行い、応答時間が遅延します。この時間差を測定することで、秘密文字列を文字単位で復元しました。
• 結果: バッファオーバーフローと UAF を利用した XS-Leak は成功しましたが、フォーマット文字列攻撃は PCRE2 エンジンの内部構造破損により不安定でした。

4.4 攻撃の難易度と安定性

• 容易: バッファオーバーフロー（サイズ推測が比較的容易）。
• 困難: 制御されていないフォーマット文字列（ターゲットアドレスの特定が必要）、UAF（ヒープの形状制御が必要）。
• 課題: 多くの攻撃で WASM モジュールがクラッシュするリスクがあり、特にフォーマット文字列や UAF では攻撃の安定性が課題となりました。

5. 意義と結論 (Significance & Conclusion)

この研究は、WASM が単なる「高速な JavaScript の代替」ではなく、C 言語由来の脆弱性を Web 環境に持ち込み、既存の Web セキュリティ対策を無効化しうる新たな攻撃面であることを明確に示しました。

• セキュリティパラダイムの変化: WASM モジュールは「信頼されたコンポーネント」として扱われがちですが、実際にはネイティブアプリケーションと同様の厳格なセキュリティ対策が必要です。
• 防御の多層化:
  1. 境界検証: JS と WASM の間でやり取りされる値の型、範囲、長さを厳密に検証する。
  2. コンパイラ/ランタイム硬化: Emscripten などのコンパイラオプション（スタックスマッシング検出、境界外チェック）を有効化し、パフォーマンスとのトレードオフを許容する。
  3. インターフェースの最小化: 外部に公開する関数とメモリ領域を最小限に抑える。
  4. 従来の対策の継続: 入力サニタイズやプリペアドステートメントは、WASM 側が脆弱でも依然として有効な場合があるため、継続して適用する。

この論文は、WebAssembly の安全な導入と運用に向けた指針を提供し、低レベルコンパイルコードが Web ランタイムに与えるリスクに対する理解を深める重要な貢献となっています。