家庭用PCでも数秒でサーバを“落とせる”、HTTP/2の脆弱性をCodexが発見 さくらインターネットも対策

米セキュリティ企業のCalifが6月3日（現地時間）、少しの通信量でWebサーバに過剰な負荷をかけ停止させるDoS攻撃手法「HTTP/2 Bomb」の注意喚起を行い、その深刻さから話題になっている。

[梅林日奈子，ITmedia]

　米セキュリティ企業のCalifが6月3日（現地時間）、少しの通信量でWebサーバに過剰な負荷をかけ停止させるDoS攻撃手法「HTTP/2 Bomb」に注意喚起したことをきっかけに、その深刻さが話題になっている。国内では、さくらインターネットも対応に追われており、6月4日夜に緊急メンテナンスを実施。暫定措置としてWebサーバを「HTTP/2」から「HTTP/1.1」へ切り替えた。

　Califは、米OpenAIのコーディング支援ツール「Codex」によりこの脆弱性を発見した。同社によると、100Mbps程度の回線があれば、家庭用PCでも脆弱なサーバを数秒で停止に追い込めるという。標的になるのは「nginx」「Apache httpd」「Microsoft IIS」「Envoy」「Cloudflare Pingora」といったWebサーバソフトやロードバランサーだ。中でもApache httpdとEnvoyを標的とした場合、単一のクライアントからでも約20秒あれば32GBのサーバメモリを消費・占有させられるとしている。

HTTP/2 Bombの実証デモの様子／出典：Calif

　手口は、以前からある2つの攻撃手法の組み合わせだという。1つは、HTTP/2が通信量を減らすために備えるヘッダ圧縮方式「HPACK」を悪用。同方式の「一度送った情報を1バイト程度の短い番号で呼び出せる仕組み」を逆手に取り、1リクエストの中で何千回も呼び出してサーバメモリを占有し続ける。送る側はわずかなデータでも、サーバ側のメモリ消費は何千倍にも膨らむという。

　もう1つは、サーバからの応答をわざと受け取らずに接続を握り続ける「Slowloris」と呼ばれる手口だ。2つの手口はどちらも10年ほど前から知られていたが、組み合わせることで大量のメモリを長時間占有できることがCodexにより発見されたとCalifは説明している。

　国内では、さくらインターネットが6月5日、HTTP/2に「外部からの攻撃によりサービスが停止する可能性がある脆弱性」が見つかったとして、緊急メンテナンスを実施。同社に確認したところ「HTTP/2 Bomb対策である」との回答を得た。

引用：さくらインターネットお知らせ

　4日に同社が実施した緊急メンテナンスの対象は「さくらのレンタルサーバ」のライト、スタンダード、プレミアム、ビジネス、ビジネスプロの各プランと、「さくらのマネージドサーバ」の全プラン、レンタルサーバのリセール向けサービス全プラン。

　HTTP/1.1への切り替えで一部の環境ではページの表示速度がわずかに落ちる可能性があるが、サイトの閲覧や機能に支障はないとしている。同社は恒久的な対策の目処が立てば、速やかにHTTP/2を再び有効にする方針だ。同社以外にも、お名前.comを提供するGMOインターネットグループなど、複数の企業が同脆弱性に暫定的な対策を講じている。

引用：お名前.com公お知らせ

　Califは対策として、修正版ソフトに更新するほか、更新できない場合はHTTP/2を無効化するよう呼び掛けている。さくらインターネットが採ったHTTP/1.1への切り替えは後者に当たる。HTTP/2に起因する大規模な攻撃は過去にもあり、2023年には米Google、米Cloudflare、米Amazonが、「HTTP/2 Rapid Reset Attack」（CVE-2023-44487）による大規模のDDoS攻撃を公表している。