現代インターネットの根幹を揺るがす脆弱性が、Web上に広大な分散インフラを持つ組織に対して、とりわけ深刻な影響を与えています。パッチは既に公開されていますが、ベンダーごとのリリース対応にばらつきがあり、一部で混乱が生じています。
今春、セキュリティ研究者のQuang Luong氏(Calif所属)はOpenAIのCodexを用いて、現在「HTTP/2爆弾」と呼ばれるエクスプロイトを発見しました。AIによって発見された深刻な脆弱性の例にもれず、HTTP/2爆弾(正式名称:CVE-2026-49975)は、Webの中核技術に存在する二つの古い地味な機能を独創的に組み合わせ、攻撃者が不正トラフィックを桁違いに増幅できるようにするものです。認証なしにサービス拒否(DoS)攻撃を引き起こせることから、この問題はCVSSスコア7.5(深刻度:高)を取得しています。
HTTP/2爆弾において特に際立つのは、脆弱なオンラインインフラの規模の大きさです。CalifによるShodan初期スキャンでは、88万件以上のウェブサイトがHTTP/2をサポートしており、nginx、Apache httpd、Microsoft IIS、Envoy、Cloudflare Pingoraのいずれかの脆弱なサーバーを稼働させていることが判明しました。これらのサーバープロバイダーは修正プログラムを順次リリースしており、各組織は可能な限り速やかにパッチを適用するよう求められています。
HTTP/2爆弾の最新動向
CVE-2026-49975の公開直後、Impervaは報告しています。実際の攻撃者が脆弱なサーバーを「マッピングするために設計された専用ツールを実行している」とのことです。
それから2週間が経過した現在、RadwareでThreat Intelligenceディレクターを務めるPascal Geenens氏によると、脅威アクターがDoS攻撃を行う手段を既に数多く持っていることもあり、HTTP/2爆弾による大規模かつ観測可能な攻撃は今のところ確認されていないとのことです。一方で同氏は、実際に機能する概念実証(PoC)が公開されていることを指摘しており、「実行は簡単です。攻撃者側は多くのリソースを必要としません」と述べています。
防御側では、主要なサーバーの多くで専用パッチが入手可能になっています。ただし、リリース状況には格差があります。NginxとApacheは公開前に問題を修正済みで、Envoyは公開翌日に修正版をリリースしました。Microsoftはさらに1週間かかり、先週のPatch Tuesdayで緩和策を公開しました。Cloudflareはまだ脆弱性を修正していません。
HTTP/2爆弾の影響を最も受ける業界
HTTP/2爆弾は業界を選びません。「例えば、銀行セクターで多く使われている脆弱な技術というものが存在しますが、これはそういったものではありません」と語るのは、CyCognitoのマーケティング担当バイスプレジデント、Igal Zeifman氏です。同氏は自社顧客の80〜90%が影響を受けると推定しており、「これは誰にでも関係する脆弱性です」と述べています。
ただし、CyCognitoのデータによると、インターネット接続サーバーの保有数が平均を上回るという理由から、特定の業界がより大きな影響を受けていることも確かです。同社のスキャンでは、脆弱なサーバーの約4分の1が通信業界(通信キャリア、メディア、大規模トラフィックを管理するコンテンツ企業など、高速なHTTP/2の導入が不可欠な業種)に属する組織のものであることが判明しました。通信サービスに続くのは、IT業界(18%)と医療業界(17%)です。また同社は、脆弱なインターネット接続サーバーを平均より多く稼働させている点が、業界間の差を生む単純な理由だと指摘しています。
「このパターンが示す根本的な要因は一つ、影響を受けるコンポーネントが汎用的なWebインフラである点です」と研究者たちは記しています。「Apache httpdとnginxはあらゆる業界のアプリケーションの前段に配置されており、多くの場合は数年前に導入されて以来、安定稼働しているという理由でほとんど手が加えられていません」
HTTP/2増幅攻撃のしくみ
増幅攻撃は、インターネット上で障害を引き起こす手法の中でも最も古くからある、非常にシンプルなものです。
DDoS攻撃全盛期には、自宅のダイヤルアップ回線という制約があっても、10代のハッカーたちが増幅攻撃によって企業サーバーをダウンさせていました。たとえば1999年にリリースされたFPS(一人称シューター)ゲーム「Quake III Arena」のサーバーは、小さな「getinfo」や「getstatus」リクエストに対し、プレイヤー情報や設定情報などを返す仕様でした。ハッカーたちはこれを悪用し、Quake III Arenaサーバーにgetstatusリクエストをなりすまして大量送信し、そのレスポンスを標的のIPアドレスに向けることで、少量の入力から大量の不正トラフィックを生成できることに気づいたのです。
この手法を再現することでDDoS攻撃を習得した10代の少年、Josiah White氏はその後、史上最も重大なボットネットであるMiraiを作り上げました。
HTTP/2爆弾も同じ原理に基づいていますが、特定サーバーの癖を突くのではなく、HTTP/2そのものを悪用します。皮肉なことに、悪用される二つの機能はいずれもインターネット帯域幅の節約を目的として設計されたものです。一つ目の「HPACK」は、同じヘッダーメタデータをやり取りする手間を省くため、データをインデックスを使った短縮形式で保存します。二つ目の「フロー制御」は、サーバーのレスポンスによってクライアントが過負荷になるのを防ぐ機能です。
簡単に説明すると、攻撃者は小さなリクエストを連続送信してサーバーに大きなヘッダー構造を生成させ(Quake III Arenaの手法と同様)、さらにサーバーがレスポンスを返せないようブロックしつつ、際限なく送り込まれるリクエストを処理するためにメモリを解放させ続けます。その結果、自宅Wi-Fiに接続したラップトップ1台でも、nginxサーバーを45秒で、Envoyなら10秒でダウンさせることができます。
「DDoSオタクの私にとって、実装そのものが非常に興味深いですね」とZeifman氏は語ります。「HTTP/2爆弾という概念自体は新しくありません。小さなリクエストを送り込んでメモリ上で膨張させ、それをSlowlorisのような攻撃と組み合わせる。つまり接続を開き続けることで小さなリクエストを送り続けられる仕組みです。するとあっという間にメモリが枯渇します。非常にシンプルな二つのコンセプトです。なぜ今まで誰も思いついていなかったのか不思議なくらいです」
「とにかく可能な限り早くパッチを適用することです」と同氏は各組織に警告します。「インターネット上で何かを運用しているなら、この問題があなたに関係している可能性は非常に高いのです」
翻訳元: https://www.darkreading.com/vulnerabilities-threats/http-2-bomb-attacks-telcos-healthcare
