チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「100MbpsのPC1台で本当にサーバーが落ちるなんてあり得るの?」
「NGINXもApacheも影響と聞いたけど、自社サービスは大丈夫?」
チップスボス、HTTP/2 Bombっていう新しいDoS攻撃、ちょっと特別すごいらしいんでしゅけど…1台のPCで本当にWebサーバを落とせちゃうんでしゅか?
ボスそうだな。HPACK圧縮の増幅とSlowloris型のフロー制御停止を組み合わせると、100Mbpsクライアントで数十GBのRAMを数秒で食い潰せる。設計上の盲点を突いた厄介な手法だ。
本記事ではHTTP/2 Bomb DoS攻撃の中身と、影響を受けるサーバ、そして公開しているWebサービスをどう守るかを整理します。
WAFや帯域防御だけでは止まらないことを前提に、実装層の対策まで踏み込みます。
読み終えたあとには、自社が利用するWebサーバの該当有無と、未修正環境で取れる暫定対策が見えてきます。
オススメ案件
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
まずはHTTP/2 Bombの仕組みを噛み砕いて確認します。
HTTP/2 BombはHPACK(HTTPヘッダ圧縮)の特性を逆手に取った増幅技法です。
具体的には、攻撃者が一度ヘッダを送ったあと、コンパクト・インデックスで何度も参照することで、1バイトの攻撃入力が数千バイトのサーバ側メモリ確保を誘発できます。
これだけでも増幅率が大きいのですが、本攻撃の核心はその先にあります。
増幅で確保させたメモリを、Slowloris型のテクニックで解放させない仕組みが組み合わされています。
攻撃者は『受信ウィンドウを0バイト』と広告し、サーバ側にリクエスト未完了の状態を維持させます。
結果として、リクエストが終わらない=メモリが解放されない、という状態が長時間続き、サーバが容易に枯渇します。
研究者の実測値は以下のとおりです。
チップス1台で数十GBって、もうちょっとしたDDoSが個人で完結しちゃうレベルでしゅね…
ボスそうだな。だからこそ、L7の振る舞いを止めることが鍵になる。CDNや帯域制御だけでは不十分だ。
続いて、影響を受ける製品と、本日から動ける暫定対策を整理します。
研究者の検証では、主要なWebサーバ・プロキシが軒並み影響を受けることが確認されました。
本稿時点でのパッチ状況は以下のとおりです。
| 製品 | 対応状況 |
|---|---|
| NGINX | 1.29.8でmax_headers追加により緩和 |
| Apache httpd | mod_http2 2.0.41で修正(CVE-2026-49975) |
| Microsoft IIS | 本稿時点で未修正、暫定対策が必要 |
| Envoy | 本稿時点で未修正、暫定対策が必要 |
| Cloudflare Pingora | 本稿時点で未修正、暫定対策が必要 |
未修正のIIS・Envoy・Pingoraを使う環境では、以下の暫定対策が現実解です。
取り組みやすい順に整理しました。
チップスHTTP/2をいったん切れる環境なら、それが一番手堅いんでしゅね!
ボスそうだな。技術的詳細はBleepingComputerの報道に詳しい。自社で使うサーバの該当バージョンをまず確かめるといい。
HTTP/2 Bombは、HPACK増幅とSlowloris型フロー制御停止という古典と新型の合わせ技で、単一クライアントから瞬時に枯渇させる新世代のDoSです。
NGINXとApacheはパッチが揃いつつある一方、IIS・Envoy・Pingoraは未修正で、暫定対策を組み合わせて凌ぐ局面が当面続きます。
WAFや帯域防御だけに頼らず、L7の振る舞いを上限値で抑え込む設定を加え、Web基盤の耐性を底上げしていきましょう。
オススメ案件
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
