CVE-2026-49975: HTTP/2ボム攻撃がウェブサーバーを数秒でオフラインに

新たに公開されたサービス拒否の脆弱性であるCVE-2026-49975は、長く知られたHTTP/2の弱点がどのようにして非常に効果的な現代の攻撃に組み合わせられるかを示しています。SecurityWeekによると、Califの研究者が、主要なWebサーバーを数秒以内にオフラインにすることができるHTTP/2ボムのエクスプロイトを示しました。この攻撃は、圧縮ボムとサーバーがメモリを解放するのを妨げるSlowlorisスタイルのホールドを組み合わせるものです。

レポートによると、この攻撃は、HTTP/2をサポートし、NGINX、Apache HTTP（Web）サーバー、Microsoft IIS、Envoy、またはCloudflare Pingoraのデフォルト設定を実行する88万以上のWebサイトに影響する可能性があります。Califはまた、100 Mbpsの接続を持つ家庭用コンピュータからこの攻撃を開始し、影響を受けたサーバーを数秒以内に利用不能にすることができると述べています。

CVE-2026-49975の分析

SecurityWeekは、この攻撃が単一の新しい欠陥に基づくものではなく、既知のサービス拒否技法のチェーンに基づいていると説明しています。第一段階は、HTTP/2のヘッダー圧縮を悪用して送信元で非常に小さなメッセージが非常に大きなメモリ消費構造に膨張するHPACKボム（CVE-2016-6581）に依存しています。この記事は、この技法が昨年Apache HTTPDに対して4000倍の増幅率で実演され、Apacheがバージョン2.4.64でその問題をCVE-2025-53020として対処したと指摘しています。

第二段階は、継続フレームと操作されたフローコントロールウィンドウに関連するHTTP/2 Slowlorisスタイルの問題であるCVE-2016-8740とCVE-2016-1546を悪用します。SecurityWeekが説明するように、攻撃者は0バイトのフローコントロールウィンドウを広告してサーバーからの応答送信を防ぎ、その後送信タイムアウトをリセットすることでメモリアロケーションが解放されずに固定されるようにします。

この変異株が注目すべき点は、SecurityWeekが引用するCalifの説明によると、増幅が大規模なデコードヘッダー値から来るのではなく、ほとんど空のヘッダーの周りにサーバーが割り当てるエントリごとの記帳から来るということです。したがって、伝統的なデコードサイズ制限では、この攻撃を阻止できない可能性があります。「ほとんど何もデコードするものがない」からです。レポートはまた、ヘッダーフィールド数を制限するサーバーに対する回避策をCalifが見つけ、この攻撃を示す証拠概念コードを公開したとも述べています。

検出を探索

CVE-2026-49975の緩和策

SecurityWeekによれば、NGINXが4月にバグを解決し、Apacheが5月下旬に修正を展開し、CVE-2026-49975を割り当てました。報告時点では、Microsoft IIS、Envoy、およびCloudflare Pingoraはまだパッチが適用されていませんでした。

実際の防御の観点から、最も明確な短期的優先事項は、デフォルトのHTTP/2設定を使用しているインターネットに面するシステムを特定し、それらがパッチ適用済みのソフトウェアを実行しているかどうかを検証することです。この記事は具体的なIOC（インジケータ・オブ・コンプロマイズ）や詳細な検出テレメトリは公開していないため、最も現実的なアプローチは露出したHTTP/2サービス、急激なメモリスパイク、そしてメモリ枯渇に一致する突発的なサービス障害に焦点を当てることです。最後の点は、SecurityWeekの報告に基づく攻撃行動に基づく防衛的推論です。