DoubleClickからXSSの脆弱性が確認されたベンダーファイルリストの通知を受け取りました

本日、DoubleClick（Googleのデジタル広告ソリューション）からサービスノーティス(Service Notice: DoubleClick for Publishers & DoubleClick Ad Exchange)と言うタイトルのメールを受け取りました。DoubleClickからメールを受け取ることなどめったにないのでなんだろう？と思いながら内容を見てみました。

DoubleClickからXSSの脆弱性が確認されたベンダーファイルに関する通知

以下、メールの冒頭部を引用します。

We’ve identified certain vendor files that may contain XSS vulnerabilities which could pose a security risk. Please check if you are hosting these files and remove them with the help of your webmaster. These are the currently identified third-party vendor files:

訳：我々は、セキュリティリスクが伴うXSSの脆弱性が含まれる恐れがあることを確認したベンダーファイルを特定しています。ウェブマスターの手伝いを得て、これらのファイルをホスティング（設置）していないかご確認の上、削除して下さい。これらが、現時点でと掌握しているサードパーティのベンダーファイルです。

メッセージに続いて、ベンダーファイルが記載されていました。

ベンダーファイルのリストの下には以下の様な記載がありました。

We have disabled these vendors where possible for all DoubleClick for Publishers and DoubleClick Ad Exchange customers. However, any of the mentioned files hosted on your site may still pose a risk and should be taken down. We will notify you as we learn more.

訳：我々は、全てのDFPとAd Exchangeの顧客のために可能な限りこれらのベンダーを無効にしています。しかし、お知らせしたファイルがあなたのサイトにホストされている場合、依然としてリスクがあるため、除去する必要があります。さらなる情報を得た時は、通知致します。

メール文の末尾に、「この件についてのさらなる情報はヘルプセンターの記事(Check and remove vendor files)をご覧下さい。」と書かれていたので、ヘルプページを見てみました。基本的には、メール文の内容とほぼ同じでした。

XSSとは

英語版WikipediaのCross-site scriptingの冒頭部を訳して紹介します。

クロスサイトスクリプティング（Cross Site Scripting, XSS）は、ウェッブアプリケーションで発見されるコンピュータセキュリティの脆弱性の一種です。XSSはアタッカーがクライアント側のスクリプト挿入したページを他のユーザーが見ることで可能となります。クロスサイトスクリプティングの脆弱性は、同一生成元ポリシー(the same-origin policy)などによるアクセスコントロールをバイパスすることを可能にしてまうことがあります。2017年バグバウンティ会社のHackerOneは、XSSは依然として大きな脅威であるとレポートしています。XSSは、仔細なレベルから甚大なセキュリティのリスクまで様々なものがあります。