セキュリティ研究者が、「HTTP/2 Bomb」と呼ばれる新しいサービス拒否(DoS)攻撃を特定した。この攻撃により、主要なウェブサーバーが数秒でクラッシュする可能性がある [1]。
この脆弱性は、インターネットの基幹インフラを標的にしているため極めて深刻である。サーバーのデータ圧縮およびフロー制御の処理方法を悪用することで、攻撃者は大規模なボットネットを必要とせずにシステムを崩壊させることができる。
この攻撃は、NGINX、Apache、IIS、Envoy、Cloudflareを含む、広く利用されている複数のウェブサーバーを標的にしている [1], [2]。HPACKヘッダー圧縮の悪用とHTTP/2フロー制御という、既知の2つのDoS手法を組み合わせることで動作する [1], [3]。この組み合わせにより、サーバーは実際に処理不可能なリクエストを処理するために、膨大な量のメモリを割り当てさせられる。
研究者によると、単一のクライアントがサーバーに最大32 GBのメモリを割り当てさせることが可能だという [1]。このメモリ枯渇は約20秒で引き起こされる [1]。場合によっては、わずか数秒でウェブサーバーをダウンさせることもある [4]。
この攻撃は帯域幅の飽和ではなくメモリ枯渇に焦点を当てているため、従来のトラフィック監視ツールでは検出が特に困難である。サーバーはHTTP/2プロトコルのルールに従おうとするが、特定のリクエストシーケンスがリソースループを生成し、利用可能なすべてのRAMを消費して、即座にシステムクラッシュに至る。
研究者がこの脆弱性を発見したのは2026年6月である [1], [4]。彼らは、HTTP/2プロトコルの効率性こそが、サーバーのパフォーマンスを低下または停止させるために悪用されていると述べている [3]。
“単一のクライアントがサーバーに最大32 GBのメモリを割り当てさせることが可能”
HTTP/2 Bombは、単純なトラフィック量に依存するボリューム型DDoS攻撃から、プロトコルのロジックを悪用するアルゴリズム型攻撃への転換を意味する。送信側が極めて少ないリソースで受信側に完全な障害を引き起こせるため、高トラフィックのグローバルサービスを妨害するための攻撃ハードルが下がる。組織は、この特定のリスクを軽減するために、より詳細なメモリ制限の実装や、更新されたフロー制御設定の導入が必要になる可能性が高い。
