「HTTP/2 Bomb」脆弱性に国内も動く

米セキュリティ企業のCalifが6月3日（現地時間）、少しの通信量でWebサーバに過剰な負荷をかけ停止させるDoS攻撃手法「HTTP/2 Bomb」に注意喚起したことをきっかけに、その深刻さが話題になっている。国内では、さくらインターネットも対応に追われており、6月4日夜に緊急メンテナンスを実施。暫定措置としてWebサーバを「HTTP/2」から「HTTP/1.1」へ切り替えた。 Califは、米OpenAIのコーディング支援ツール「Codex」によりこの脆弱性を発見した。同社によると、100Mbps程度の回線があれば、家庭用PCでも脆弱なサーバを数秒で停止に追い込めるという。標的になるのは「nginx」「Apache httpd」「Microsoft IIS」「Envoy」「Cloudflare Pingora」といったWebサーバソフトやロードバランサーだ。中でもApache httpdとEnvoyを標的とした場合、単一のクライアントからでも約20秒あれば32GBのサーバメモリを消費・占有させられるとしている。 手口は、以前からある2つの攻撃手法の組み合わせだという。1つは、HTTP/2が通信量を減らすために備えるヘッダ圧縮方式「HPACK」を悪用。同方式の「一度送った情報を1バイト程度の短い番号で呼び出せる仕組み」を逆手に取り、1リクエストの中で何千回も呼び出してサーバメモリを占有し続ける。送る側はわずかなデータでも、サーバ側のメモリ消費は何千倍にも膨らむという。 もう1つは、サーバからの応答をわざと受け取らずに接続を握り続ける「Slowloris」と呼ばれる手口だ。2つの手口はどちらも10年ほど前から知られていたが、組み合わせることで大量のメモリを長時間占有できることがCodexにより発見されたとCalifは説明している。 国内では、さくらインターネットが6月5日、HTTP/2に「外部からの攻撃によりサービスが停止する可能性がある脆弱性」が見つかったとして、緊急メンテナンスを実施。同社に確認したところ「HTTP/2 Bomb対策である」との回答を得た。 4日に同社が実施した緊急メンテナンスの対象は「さくらのレンタルサーバ」のライト、スタンダード、プレミアム、ビジネス、ビジネスプロの各プランと、「さくらのマネージドサーバ」の全プラン、レンタルサーバのリセール向けサービス全プラン。 HTTP/1.1への切り替えで一部の環境ではページの表示速度がわずかに落ちる可能性があるが、サイトの閲覧や機能に支障はないとしている。同社は恒久的な対策の目処が立てば、速やかにHTTP/2を再び有効にする方針だ。同社以外にも、お名前.comを提供するGMOインターネットグループなど、複数の企業が同脆弱性に暫定的な対策を講じている。