編集部からのお知らせ
新着! 記事まとめ集「銀行のITビジネス」
EDRの記事まとめダウンロードはこちら

HTTP/2プロトコルに複数のセキュリティ問題--Black Hatでレポート公開

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2016-08-05 10:28

 新しいプロトコルであるHTTP/2に、数千万のウェブサイトを攻撃のリスクに晒す可能性がある複数のセキュリティ問題が発見された。

 サイバーセキュリティ会社Impervaは米国時間8月3日、Black Hat USAでウェブや通信システムで使用されるHTTPの最新バージョンであるHTTP/2に関連して、複数の重大なセキュリティホールが存在すると報告するレポートを公開した。

 このレポート「HTTP/2: In-depth analysis of the top four flaws of the next generation web protocol」は、HTTP/2に関連する4つの脆弱性と攻撃手法について説明したものだ。現在、HTTP/2の導入数は着実に増加している。

 W3Techsによれば、全ウェブサイトの約10%ですでにHTTP/2が導入されている。

 レポートで説明されている攻撃手法は以下のようなものだ。

  • Slow Read:この攻撃は悪質なクライアントが応答を遅らせるというもので、数年前に複数の金融機関が受けたDDoS攻撃「Slowloris」と同様のものだ。読み込みを遅らせるという攻撃はHTTPではよく知られているが、この最新のプロトコルでも同じ攻撃手法が利用できる。ただし今回は、HTTP/2の実装のアプリケーション層が対象となる。この種の脆弱性は、「Apache」「IIS」「Jetty」「NGINX」で発見されている。
  • HPACK Bomb:Impervaの研究者らによれば、この攻撃は読み込んだプログラムやシステムをクラッシュさせるよう設計された悪質なアーカイブファイルである「Zip爆弾」に似たものだ。この攻撃が実行されると、サイズが小さく無害に見えるメッセージが、サーバ上で数ギガバイトのデータに膨れあがり、サーバのメモリリソースを枯渇させてダウンさせる。
  • 循環依存攻撃:HTTP/2にはネットワーク上の通信効率を改善するため、新しいフロー制御の仕組みが導入されている。ところが、循環依存が発生するリクエストを作成することによって、フロー制御システムが逃れられない無限ループを作り出すことができる。
  • ストリーム多重化の悪用:最後の問題は、サーバのストリーム多重化機能の実装方法に存在するセキュリティホールを悪用するものだ。これらのバグを利用すると、サーバをクラッシュさせることができる。

提供:Imperva

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「クラウド利用状況調査」から読み解く、コスト、リソース不足、セキュリティへの対応策

  2. 運用管理

    人員・スキル不足はもはや言い訳? システム運用を高度化する「AIOps」最前線

  3. セキュリティ

    脱「PPAP」に活用できる Microsoft 365 の機能をまとめて紹介

  4. 経営

    脱“ハンコ出社”の実現に向け、電子署名を全社展開したNEC

  5. 経営

    なぜ成長企業の経営者はバックオフィス効率化に取り組むのか?生産性を高めるための重要な仕組み

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]