【緊急】HTTP/2 Bombの深刻なDoS脆弱性が発覚！主要Webサーバーが数秒で停止の危機

この度、HTTP/2プロトコルに起因する新たなDoS攻撃手法「HTTP/2 Bomb」が発覚しました。米セキュリティ企業のCalifがOpenAIのコーディング支援ツール「Codex」を用いて発見したこの脆弱性は、Nginx、Apache HTTP Server、Microsoft IIS、Envoy、Cloudflare Pingoraといった主要なWebサーバーに影響を与え、家庭用PCからでもわずか数秒でサービスを停止に追い込むことが可能とされています。本稿では、この深刻な脆弱性の概要と影響、そしてエンジニアが取るべき緊急対策について解説します。

脆弱性の概要と影響範囲

「HTTP/2 Bomb」（CVE-2026-49975）は、HTTP/2のヘッダ圧縮方式であるHPACKと、Slowlorisに似たフロー制御の仕組みを悪用するDoS攻撃です。攻撃者はごくわずかな通信量で、サーバーのメモリを急激に枯渇させ、サービスを停止させることが可能になります。特に、サーバーのデフォルトHTTP/2設定がこの脆弱性の影響を受けやすく、未認証の攻撃者がリモートから容易に実行できる点が極めて危険です。

具体的な影響・攻撃シナリオ

この攻撃は、HTTP/2が提供するヘッダ圧縮（HPACK）の仕組みを悪用し、1バイト程度の短いインデックス参照を数千回繰り返すことで、サーバー側で数千倍ものメモリ確保を誘発します。さらに、サーバーからの応答を意図的に受け取らずに接続を維持する「Slowloris」に似た手法を組み合わせることで、確保したメモリを解放させずに長時間占有します。これにより、単一のクライアントからでもWebサーバーはメモリを使い果たし、最終的にクラッシュまたは応答不能に陥ります。国内では、さくらインターネットが緊急メンテナンスを実施し、暫定的にHTTP/2からHTTP/1.1への切り替えを行うなど、対応に追われていることが報じられています。

エンジニアが今すぐ取るべき対策

この脆弱性への対応は緊急を要します。現在利用しているWebサーバーの状況に応じて、以下の対策を速やかに検討・実施してください。

1. WebサーバーのアップデートまたはHTTP/2の無効化

NginxおよびApache HTTP Serverでは、すでに修正が提供されています。Nginxはバージョン1.29.8以降、Apacheはmod_http2 v2.0.41以降へのアップデートを推奨します。アップデートが困難な場合、一時的にHTTP/2を無効化することで攻撃を防ぐことが可能です。Microsoft IIS、Envoy、Cloudflare Pingoraについては、執筆時点でパッチが公開されていないため、HTTP/2の無効化が最も現実的な緩和策となります。

# NginxでHTTP/2を無効化する場合
# serverブロック内の "listen" ディレクティブから "http2" を削除します。
# 例:
# listen 443 ssl http2;
# 上記を以下のように変更:
listen 443 ssl;

# Nginx 1.29.8+でHTTP/2を有効にしつつヘッダ制限を強化する場合 (推奨)
# httpブロック内に以下を追加:
# http {
#     http2_max_field_headers 1000;
#     http2_max_header_size 8k;
# }

Apache HTTP Serverの場合は、設定ファイル（httpd.confなど）で以下のように変更することでHTTP/2を無効化できます。

# Apache HTTP ServerでHTTP/2を無効化する場合
# Protocolsディレクティブをhttp/1.1のみに設定します。
Protocols http/1.1

2. メモリ使用量の監視と制限

Webサーバープロセスのメモリ使用量を継続的に監視し、異常な増加を検知できるアラートを設定してください。また、`ulimit`やコンテナ環境でのメモリ制限を適切に設定し、単一のワーカープロセスがシステム全体のメモリを枯渇させないように対策することも重要です。

3. WAFやリバースプロキシによる保護

Web Application Firewall (WAF) やリバースプロキシ（HAProxyなど）を導入している場合、HTTP/2のヘッダ制限や異常なフロー制御を検知・遮断するよう設定を見直してください。HAProxyは本脆弱性の影響を受けにくいとされていますが、エッジでの防御を強化することで、バックエンドサーバーへの到達を防ぐことが可能です。

参考ソース・公式パッチ情報