新しいプロトコルであるHTTP/2に、数千万のウェブサイトを攻撃のリスクに晒す可能性がある複数のセキュリティ問題が発見された。
サイバーセキュリティ会社Impervaは米国時間8月3日、Black Hat USAでウェブや通信システムで使用されるHTTPの最新バージョンであるHTTP/2に関連して、複数の重大なセキュリティホールが存在すると報告するレポートを公開した。
このレポート「HTTP/2: In-depth analysis of the top four flaws of the next generation web protocol」は、HTTP/2に関連する4つの脆弱性と攻撃手法について説明したものだ。現在、HTTP/2の導入数は着実に増加している。
W3Techsによれば、全ウェブサイトの約10%ですでにHTTP/2が導入されている。
レポートで説明されている攻撃手法は以下のようなものだ。
- Slow Read:この攻撃は悪質なクライアントが応答を遅らせるというもので、数年前に複数の金融機関が受けたDDoS攻撃「Slowloris」と同様のものだ。読み込みを遅らせるという攻撃はHTTPではよく知られているが、この最新のプロトコルでも同じ攻撃手法が利用できる。ただし今回は、HTTP/2の実装のアプリケーション層が対象となる。この種の脆弱性は、「Apache」「IIS」「Jetty」「NGINX」で発見されている。
- HPACK Bomb:Impervaの研究者らによれば、この攻撃は読み込んだプログラムやシステムをクラッシュさせるよう設計された悪質なアーカイブファイルである「Zip爆弾」に似たものだ。この攻撃が実行されると、サイズが小さく無害に見えるメッセージが、サーバ上で数ギガバイトのデータに膨れあがり、サーバのメモリリソースを枯渇させてダウンさせる。
- 循環依存攻撃:HTTP/2にはネットワーク上の通信効率を改善するため、新しいフロー制御の仕組みが導入されている。ところが、循環依存が発生するリクエストを作成することによって、フロー制御システムが逃れられない無限ループを作り出すことができる。
- ストリーム多重化の悪用:最後の問題は、サーバのストリーム多重化機能の実装方法に存在するセキュリティホールを悪用するものだ。これらのバグを利用すると、サーバをクラッシュさせることができる。
提供:Imperva
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
