CloudflareがQUICプロトコルに見つかった脆弱性を修正 DDoS攻撃への悪用が可能：セキュリティニュースアラート

Cloudflareは、QUICプロトコルのブロードキャストアドレスを悪用した脆弱性を修正した。この脆弱性は大量の応答パケットを引き起こし、DDoS攻撃の一種であるリフレクション攻撃として利用されるリスクがあった。

[後藤大地，有限会社オングス]

　Cloudflareは2025年2月10日（現地時間）、トランスポートプロトコルQUICにおけるブロードキャストアドレス増幅の脆弱（ぜいじゃく）性を修正したと発表した。

　この脆弱性は匿名のセキュリティ研究グループにより発見されており、同グループと協力して完全に修正したと報告している。

QUICに見つかった脆弱性　DDoS攻撃への悪用が可能

　QUICはTCPおよびTLSの機能を組み合わせた暗号化されたUDP上で動作するインターネットトランスポートプロトコルだ。見つかった脆弱性はQUICの初期パケットが特定のブロードキャストIPアドレス宛に送信された場合、大量の応答パケットが発生する可能性がある欠陥とされている。

　脆弱性が悪用された場合、サーバCPUの負荷が急増し、リフレクション増幅攻撃として利用される可能性があった。ブロードキャストIPアドレスは同一ネットワーク内の全てのノードにパケットを送信するために使用される特別なアドレスだが、1つのパケットが多数のノードに影響を与える可能性があるため、DDoS攻撃の増幅手段として悪用されることがある。

　QUICのハンドシェイクでは従来のTCPのような明示的なクライアントIPアドレスの検証が実施される前に暗号化プロセスが開始される。そのため、攻撃者がクライアントIPになりすまし、サーバに暗号化処理を実行させてターゲットのIPアドレスに大量のデータを送信するリスクが存在していた。

　QUICのRFC 9000では増幅攻撃のリスクを考慮し、サーバがクライアントアドレスの検証を行うまで送信バイト数を制限するメカニズムを導入していたが、今回の攻撃はその対策をすり抜ける形で成立していたとされている。

　Cloudflareはこの問題を解決するために、QUICハンドシェイクの処理方法を見直し、ブロードキャストアドレスを悪用した攻撃が成立しないよう対策を講じている。またネットワーク管理者やセキュリティ専門家に対してローカル増幅攻撃のベクターとなる可能性のある設定がないかどうか、システムを再評価するよう推奨している。