編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

HTTP/2プロトコルに複数のセキュリティ問題--Black Hatでレポート公開

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2016-08-05 10:28

 新しいプロトコルであるHTTP/2に、数千万のウェブサイトを攻撃のリスクに晒す可能性がある複数のセキュリティ問題が発見された。

 サイバーセキュリティ会社Impervaは米国時間8月3日、Black Hat USAでウェブや通信システムで使用されるHTTPの最新バージョンであるHTTP/2に関連して、複数の重大なセキュリティホールが存在すると報告するレポートを公開した。

 このレポート「HTTP/2: In-depth analysis of the top four flaws of the next generation web protocol」は、HTTP/2に関連する4つの脆弱性と攻撃手法について説明したものだ。現在、HTTP/2の導入数は着実に増加している。

 W3Techsによれば、全ウェブサイトの約10%ですでにHTTP/2が導入されている。

 レポートで説明されている攻撃手法は以下のようなものだ。

  • Slow Read:この攻撃は悪質なクライアントが応答を遅らせるというもので、数年前に複数の金融機関が受けたDDoS攻撃「Slowloris」と同様のものだ。読み込みを遅らせるという攻撃はHTTPではよく知られているが、この最新のプロトコルでも同じ攻撃手法が利用できる。ただし今回は、HTTP/2の実装のアプリケーション層が対象となる。この種の脆弱性は、「Apache」「IIS」「Jetty」「NGINX」で発見されている。
  • HPACK Bomb:Impervaの研究者らによれば、この攻撃は読み込んだプログラムやシステムをクラッシュさせるよう設計された悪質なアーカイブファイルである「Zip爆弾」に似たものだ。この攻撃が実行されると、サイズが小さく無害に見えるメッセージが、サーバ上で数ギガバイトのデータに膨れあがり、サーバのメモリリソースを枯渇させてダウンさせる。
  • 循環依存攻撃:HTTP/2にはネットワーク上の通信効率を改善するため、新しいフロー制御の仕組みが導入されている。ところが、循環依存が発生するリクエストを作成することによって、フロー制御システムが逃れられない無限ループを作り出すことができる。
  • ストリーム多重化の悪用:最後の問題は、サーバのストリーム多重化機能の実装方法に存在するセキュリティホールを悪用するものだ。これらのバグを利用すると、サーバをクラッシュさせることができる。

提供:Imperva

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    コスト削減&拡張性も、堅牢なセキュリティ&規制も同時に手に入れる方法、教えます

  2. 経営

    サブスクビジネスのカギはCX! ITIL準拠のツールをこう使え

  3. クラウドコンピューティング

    “偽クラウド”のERP使っていませんか?多くの企業のITリーダーの生の声から学ぶ

  4. クラウドコンピューティング

    RPA本格展開のカギは?「RPA導入実態調査レポート」が示す活用の道筋

  5. セキュリティ

    RPA導入時に見落とされがちな“エンタープライズレベルのセキュリティ”を紐解く

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]