- 「HTTP/2 Bomb」と命名された新たなDoS手法
- 圧縮機能とフロー制御ストールを悪用
- 主要Webサーバへの影響が確認済み
100Mbps接続の1台のコンピューターだけで、サーバを数秒でオフラインに落とすことができる新たなサービス拒否(DoS)手法の発見は、AIの功績と言えるでしょう。
今週初め、セキュリティ研究者のCalifは「HTTP/2 Bomb」と呼ばれる新たなDoS手法の発見を公表しました。発見にはOpenAIのCodexソフトウェアエージェントを活用したとされており、この手法は既知の2つのHTTP/2 DoS手法――HPACKによる圧縮増幅と、HTTP/2フロー制御ストールを利用したSlowlorisスタイルのリソース保持――を組み合わせたものだと説明しています。
簡単に言えば、この攻撃は非常に少ないデータを送信するだけで、Webサーバに大量のメモリを確保させるよう誘導するものです。攻撃者はHTTP/2の機能を悪用し、小さなリクエストがサーバ内部で大量のデータに展開されるようにすることで、メモリの割り当てを強制します。
概念実証コードの公開
通常、リクエストの処理後にそのメモリは解放されます。しかし攻撃者は別のHTTP/2機能を使って接続を無期限に維持し続けます。悪意あるリクエストが積み重なるにつれてメモリ使用量は急増し、最終的にサーバは低速化してクラッシュします。
Califによると、この手法はNGINX、Apache HTTP Server、Microsoft IIS、Envoy、Cloudflare PingoraなどのHTTP/2設定に対して有効だとしています。
CyberInsiderによれば、影響を受ける製品は「Webの相当な部分を支えている」とされており、リスクの範囲は非常に広いと考えられます。一部のベンダーはすでにパッチを公開していますが、依然として脆弱なままのものもあります。今後のアップデートに備え、サーバの設定を継続的に確認してください。
「100Mbps接続の家庭用コンピューターが、脆弱なサーバを数秒でアクセス不能にできます。Apache httpdとEnvoyに対しては、1台のクライアントが約20秒で32GBのサーバメモリを消費・保持できます」と研究者は述べています。
現在の防御策はHTTP/2 Bombに対して無力であることも説明されています。たとえば、デコーダーのヘッダーサイズ合計に制限を設けても、攻撃で使用されるヘッダー値が非常に小さいため効果がありません。
技術的な詳細は今月後半に公開される予定とのことですが、Califはすでに概念実証(PoC)を公開しています。
Califによると、この手法はNGINX、Apache HTTP Server、Microsoft IIS、Envoy、Cloudflare PingoraなどのHTTP/2設定に対して有効だとしています。一部のベンダーはすでにパッチを公開していますが、依然として脆弱なままのものもあります。今後のアップデートに備え、サーバの設定を継続的に確認してください。
「100Mbps接続の家庭用コンピューターが、脆弱なサーバを数秒でアクセス不能にできます。Apache httpdとEnvoyに対しては、1台のクライアントが約20秒で32GBのサーバメモリを消費・保持できます」と研究者は述べています。
現在の防御策はHTTP/2 Bombに対して無力であることも説明されています。たとえば、デコーダーのヘッダーサイズ合計に制限を設けても、攻撃で使用されるヘッダー値が非常に小さいため効果がありません。
技術的な詳細は今月後半に公開される予定とのことですが、Califはすでに概念実証(PoC)を公開しています。
