Electronアプリのセキュリティ診断方法｜デスクトップアプリの脆弱性対策

SlackやVS Codeなど、多くのビジネスツールがElectronで開発されています。しかし、Web技術で手軽に作れる反面、Electronアプリには「nodeIntegration有効化によるリモートコード実行」「contextIsolation無効化によるXSS攻撃」といった特有のセキュリティリスクが潜んでいることをご存じでしょうか。この記事では、中小企業の情報システム担当者でも実践できるElectronアプリのセキュリティ診断方法を、5つのステップで具体的に解説します。

Electronアプリに潜む4つの主要な脆弱性リスク

Electronアプリは、ChromiumとNode.jsを組み合わせたフレームワークで開発されるため、Webアプリとデスクトップアプリ両方の脆弱性を抱えるリスクがあります。まずは、診断前に把握しておくべき4つの代表的な脆弱性を確認しましょう。

nodeIntegration有効化によるリモートコード実行（RCE）

Electronアプリの設定ファイル（main.js）でnodeIntegrationをtrueに設定すると、レンダラープロセスからNode.jsの機能を直接呼び出せる状態になります。これは開発時には便利ですが、外部のWebコンテンツを表示する際に悪意あるJavaScriptコードが実行され、システムを乗っ取られるリスクがあります。

IPAの「安全なウェブサイトの作り方」でも、不要な権限の付与はセキュリティ上の重大な欠陥として指摘されています。実際、2018年にはnodeIntegrationを有効にしていた複数のElectronアプリでRCE脆弱性が報告されました。

contextIsolation無効化によるXSS攻撃

contextIsolationは、WebページのJavaScriptとElectronのpreloadスクリプトを隔離する仕組みです。これが無効（false）だと、XSS攻撃によってpreloadスクリプトにアクセスされ、本来保護されているべきNode.js機能が悪用される可能性があります。

例えば、外部サイトのコンテンツを表示する機能がある場合、XSS攻撃を受けると以下のようなリスクがあります：

• ファイルシステムへの不正アクセス
• 重要な環境変数の窃取
• 任意のコマンド実行

安全でないIPC通信の実装

Electronではメインプロセスとレンダラープロセス間でIPC（Inter-Process Communication）を使ってデータをやり取りします。しかし、この通信が適切に検証されていないと、レンダラープロセスから不正なメッセージを送信され、メインプロセスで意図しない処理が実行されるリスクがあります。

OWASP Mobile Top 10の「M1：不適切なプラットフォーム利用」に該当する問題で、特にユーザー入力をそのままIPCで送信している場合は要注意です。

古いElectronバージョンの既知脆弱性

Electronは頻繁にアップデートされ、古いバージョンには既知の脆弱性（CVE）が多数報告されています。例えば、Electron 12未満ではCVE-2021-30547（Chromiumの脆弱性）が存在し、細工されたWebページを開くだけで任意のコード実行が可能でした。

JVN（Japan Vulnerability Notes）によると、2023年だけでElectron関連の脆弱性が10件以上公開されており、定期的なバージョン確認が不可欠です。

診断前準備：セキュリティ診断に必要な情報と環境

効果的なセキュリティ診断を行うには、事前に適切な情報とツールを揃える必要があります。ここでは、診断に必要な準備項目を解説します。

アプリのElectronバージョン確認方法

まず、対象アプリがどのElectronバージョンで動作しているかを確認しましょう。確認方法は以下の通りです：

• package.jsonの確認：アプリのソースコードがある場合、package.jsonの"dependencies"または"devDependencies"にelectronのバージョンが記載されています
• アプリ起動後の確認：DevToolsを開き（Ctrl+Shift+I）、コンソールでprocess.versions.electronを実行すると現在のバージョンが表示されます
• バイナリから確認：アプリの実行ファイルを解凍し、resourcesフォルダ内のelectron.asar内のpackage.jsonを確認する方法もあります

ソースコード・設定ファイルの入手

セキュリティ診断では、main.js（メインプロセス）とpreload.js（プリロードスクリプト）の設定確認が最重要です。特に以下の設定値をチェックする必要があります：

• nodeIntegration：falseであることが望ましい
• contextIsolation：trueであることが必須
• webSecurity：falseに設定されていないか確認
• allowRunningInsecureContent：trueになっていないか確認

外部ベンダーから納品されたアプリの場合、契約時に「セキュリティ診断のためのソースコード開示」を条件に含めることをおすすめします。

診断に必要なツールとアクセス権限

Electronアプリのセキュリティ診断には、以下のツールとアクセス権限が必要です：

• DevTools：Chromium開発者ツール（アプリ起動後にCtrl+Shift+Iで開く）
• Node.js環境：npm auditやelectronegativityを実行するため
• 管理者権限：ファイルシステムへのアクセスや設定変更の確認に必要
• ネットワーク解析ツール：Wiresharkなど（IPC通信の検証用）

よくある誤解：ブラウザと同じセキュリティ対策では不十分な理由

Electronアプリは「Webアプリをデスクトップで動かしているだけ」と誤解されがちですが、実際にはデスクトップアプリ特有のリスクがあります。

例えば、Webブラウザでは制限されているファイルシステムへのアクセスが、Electronアプリでは可能です。また、自動更新機能が不適切に実装されていると、中間者攻撃で改ざんされた更新ファイルをインストールしてしまうリスクもあります。

OWASP Desktop App Security Verification Standardでは、「デスクトップアプリケーションは、Webアプリケーションとは異なるセキュリティ要件を満たす必要がある」と明記されています。

実践的なElectronアプリセキュリティ診断手順【5ステップ】

ここからは、実際の診断手順を5つのステップで具体的に解説します。技術的な知識が限られている場合でも、ステップ1〜3までは社内で実施可能です。

ステップ1：セキュリティ設定の確認

まず、BrowserWindowの設定が安全かどうかを確認しましょう。main.jsファイルを開き、以下のポイントをチェックします：

【安全な設定例】

const mainWindow = new BrowserWindow({
  webPreferences: {
    nodeIntegration: false,          // 必ずfalse
    contextIsolation: true,          // 必ずtrue
    webSecurity: true,               // デフォルトのまま
    allowRunningInsecureContent: false // HTTPSのみ許可
  }
});

上記の設定から外れている場合は、重大なセキュリティリスクがあると判断してください。特にnodeIntegration: trueとcontextIsolation: falseの組み合わせは非常に危険です。

ステップ2：DevToolsによる脆弱性検証

アプリを起動し、DevTools（Ctrl+Shift+I）を開いてコンソールで以下のコマンドを実行します：

• process.versions：Electron、Node.js、Chromiumのバージョン確認
• require('fs')：nodeIntegrationが有効だと、このコマンドでファイルシステムにアクセス可能（エラーになるのが正常）
• process.env：環境変数が表示される場合、情報漏洩のリスクあり

これらのコマンドで意図しない動作が確認された場合、設定の見直しが必要です。

ステップ3：自動診断ツール活用

electronegativityは、Electronアプリのセキュリティ問題を自動で検出するオープンソースツールです。npm経由でインストールし、以下のコマンドで実行します：

npm install -g @doyensec/electronegativity
electronegativity -i /path/to/your/app

診断結果は、以下の3段階で表示されます：

• High：即座に対処すべき重大な脆弱性
• Medium：セキュリティリスクがあり、対処を推奨
• Low：将来的な改善項目

electronegativityは、contextIsolationやnodeIntegrationの設定ミスだけでなく、安全でないIPC実装や外部リソースの読み込みリスクも検出してくれます。

ステップ4：依存パッケージの脆弱性スキャン

Electronアプリは、多数のnpmパッケージに依存しています。これらのパッケージに既知の脆弱性がないか確認するため、npm auditを実行しましょう：

npm audit

脆弱性が検出された場合、以下のコマンドで自動修正を試みます：

npm audit fix

ただし、自動修正で解決できない重大な脆弱性（Critical）が残る場合は、該当パッケージのバージョンアップや代替パッケージへの移行を検討する必要があります。JVN iPediaで脆弱性の詳細を確認し、影響範囲を評価してください。

診断後の対策と継続的なセキュリティ管理

診断で脆弱性が発見された場合、適切な優先順位で対処することが重要です。ここでは、診断後の対応フローと継続的なセキュリティ管理の方法を解説します。

優先度の高い脆弱性から対処する順序

発見された脆弱性は、CVSS（Common Vulnerability Scoring System）スコアを基準に優先順位を付けます。CVSSは脆弱性の深刻度を0.0〜10.0で評価する国際標準で、以下のように分類されます：

• Critical（9.0-10.0）：即座に対処。リモートコード実行やデータ漏洩のリスクあり
• High（7.0-8.9）：1週間以内に対処。認証回避や権限昇格のリスクあり
• Medium（4.0-6.9）：1ヶ月以内に対処。サービス妨害のリスクあり
• Low（0.1-3.9）：計画的に対処。情報漏洩のリスクが限定的

まずはCriticalとHighの脆弱性を優先的に修正し、その後MediumとLowに取り組むことをおすすめします。

アップデート計画の立案

Electronは年に数回メジャーアップデートがあり、古いバージョンのサポートは順次終了します。最低でも年2回、定期的にElectronバージョンを確認し、以下の手順でアップデート計画を立てましょう：

• Electron公式サイトでリリースノートを確認
• 破壊的変更（Breaking Changes）の影響を評価
• テスト環境でアップデートを実施し、動作確認
• 本番環境へ段階的に適用

アップデート作業が困難な場合は、少なくともセキュリティパッチは優先的に適用する体制を整えてください。

外部専門家による診断を依頼すべきケース

以下のような場合は、社内診断だけでは不十分なため、外部のセキュリティ専門家への診断依頼を検討してください：

• 個人情報や機密情報を扱うアプリ
• electronegativityで複数のHighリスクが検出された
• カスタムプロトコルや独自のIPC実装がある
• 金融機関や医療機関など、コンプライアンス要件が厳しい業種
• 外部ベンダー開発のアプリでソースコードの詳細が不明

専門家による診断では、ペネトレーションテスト（実際の攻撃シミュレーション）も実施され、より実践的な脆弱性を発見できます。費用は数十万円からですが、情報漏洩時の損害と比較すれば十分に価値があります。

セキュリティ診断の実施頻度と体制整備

セキュリティ診断は一度で終わりではなく、継続的なプロセスとして実施する必要があります。IPAの「中小企業の情報セキュリティ対策ガイドライン」でも、定期的な診断が推奨されています。

推奨される診断頻度は以下の通りです：

• 年1回の包括的診断：外部専門家による詳細診断
• 四半期ごとの簡易診断：npm auditとelectronegativityによる自動スキャン
• アップデート時の診断：Electronバージョンアップ後の動作確認と設定チェック

また、社内にセキュリティ担当者を置き、JPCERT/CCなどからの脆弱性情報を定期的にチェックする体制を整えることも重要です。

まとめ

この記事では、Electronアプリのセキュリティ診断方法について解説しました。重要なポイントは以下の3つです。

• 4つの主要リスクを把握する：nodeIntegration有効化、contextIsolation無効化、安全でないIPC通信、古いバージョンの既知脆弱性
• 5ステップで段階的に診断：設定確認→DevTools検証→自動ツール→依存パッケージスキャン→優先順位付けて対処
• 継続的なセキュリティ管理が必須：年1回の専門家診断と四半期ごとの自動スキャンで安全性を維持

まずは、この記事で紹介したステップ1（設定確認）とステップ4（npm audit）から始めてみてください。個人情報を扱うアプリや、electronegativityでHighリスクが検出された場合は、外部専門家への診断依頼も検討することをおすすめします。Electronアプリの安全性を確保し、ユーザーに信頼されるサービスを提供していきましょう。