HTTP/2の新たな脆弱性「HTTP/2 Bomb」が発見される
セキュリティ企業のCalifは6月3日(現地時間)、少量の通信でWebサーバに過剰な負荷をかけて停止させるDoS攻撃手法「HTTP/2 Bomb」に注意喚起しました。この脆弱性はOpenAIのコーディング支援ツール「Codex」によって発見され、その深刻さが話題となっています。
国内ではさくらインターネットも対応に追われており、6月4日夜に緊急メンテナンスを実施。応急措置としてWebサーバを「HTTP/2」から「HTTP/1.1」に切り替えました。
Codexが発見した攻撃手法の詳細
Califによると、100Mbps程度の回線があれば、家庭用PCでも脆弱なサーバを数秒で停止に追い込めるといいます。標的となるのは「nginx」「Apache httpd」「Microsoft IIS」「Envoy」「Cloudflare Pingora」などのWebサーバソフトやロードバランサーです。中でもApache httpdとEnvoyを標的にした場合、単一のクライアントからでも約20秒で32GBのサーバメモリを消費・占有させられるとしています。
この攻撃手法は、以前からある2つの攻撃手法の組み合わせです。1つは、HTTP/2が通信量を減らすために採用するヘッダ圧縮方式「HPACK」の悪用。同方式の「一度送った情報を1バイト程度の短い番号で呼び出せる仕組み」を逆手に取り、1リクエストの中で何千回も呼び出してサーバメモリを占有し続けます。送る側はわずかなデータでも、サーバ側のメモリ消費は何千倍にも膨らむといいます。
もう1つは、サーバからの応答をわざと受け取らずに接続を張り続ける「Slowloris」と呼ばれる手法です。どちらの手法も10年ほど前から知られていましたが、組み合わせることで大量のメモリを長時間占有できることがCodexにより発見されたとCalifは説明しています。
国内事業者の対応状況
国内では、さくらインターネットが6月5日、HTTP/2に「外部からの攻撃によりサービスが停止する可能性がある脆弱性」が見つかったとして緊急メンテナンスを実施。同社に確認したところ「HTTP/2 Bomb対策である」との回答を得ました。
4日に同社が実施した緊急メンテナンスの対象は、「さくらのレンタルサーバ」のライト、スタンダード、プレミアム、ビジネス、ビジネスプロの各プランと、「さくらのマネージドサーバ」の全プラン、レンタルサーバのリセール向けサービス全プランです。
HTTP/1.1への切り替えで一部の環境ではページの表示速度がわずかに落ちる可能性があるが、サイトの閲覧や機能に支障はないとしています。同社は恒久的な対策の目処が立てば、速やかにHTTP/2を再び有効にする方針です。同社以外にも、お名前.comを提供するGMOインターネットグループなど、複数の企業が同脆弱性に応急的な対策を講じています。
推奨される対策
Califは対策として、修正版ソフトに更新するほか、更新できない場合はHTTP/2を無効化するよう呼びかけています。さくらインターネットが採ったHTTP/1.1への切り替えは後者に当たります。HTTP/2に起因する大規模な攻撃は過去にもあり、2023年には米Google、米Cloudflare、米Amazonが「HTTP/2 Rapid Reset Attack」(CVE-2023-44487)による大規模なDDoS攻撃を公表しています。
