セキュリティ研究者が、家庭用 PC 1 台から数秒以内にウェブサーバを応答不能にできる新たな DoS 攻撃手法「HTTP/2 Bomb」を公表した。注目すべきは攻撃の派手さよりも、この脆弱性パターンを掘り当てたのが OpenAI の Codex だった という点である。AI コーディング支援は「攻撃側の研究」にも本格的に使われ始めた。
HTTP/2 が再び DoS の温床になる構造的な理由 #
HTTP/2 はストリームを多重化することでパフォーマンスを稼ぐ設計だが、その「軽い接続で大量の処理を要求できる」性質は、攻撃者にとっても都合がよい。2023 年の Rapid Reset (CVE-2023-44487) が世界中の CDN を巻き込んだのは記憶に新しいが、今回の HTTP/2 Bomb もまた、フレーム単位のリソース消費アンバランスを突くアプローチに分類される。「クライアント側のコストはほぼゼロ、サーバ側はパース・状態管理・メモリ確保で逼迫する」 という非対称性が本質だ。
ボットネットも巨大インフラも要らない。攻撃側の参入コストが極端に下がることが、この種の脆弱性の本当の怖さだ。
「AI が脆弱性を見つける時代」が両刃である理由 #
Codex がこの問題を発見できたのは、HTTP/2 仕様 (RFC 9113) の各種制限値と実装挙動を突き合わせる作業が、まさに AI の得意領域だからだ。仕様書の隅にある「実装に裁量がある箇所」をしらみつぶしに検査する ような作業は、人間より AI の方が圧倒的に速い。
これは防御側にとっても朗報のはずだが、現実はそう単純ではない。攻撃側は 公開と同時に世界中で悪用 されるのに対し、防御側はベンダーのパッチ・配信・適用というラグを抱える。AI による脆弱性発見が一般化すれば、0day と 1day の境界が事実上消える 可能性がある。
運用者として今やるべきこと #
- リバースプロキシ / ロードバランサ層での HTTP/2 ストリーム数・フレームレート上限の見直し (nginx の
http2_max_concurrent_streams等) - WAF / CDN ベンダの HTTP/2 関連シグネチャ更新を最優先で適用
- L7 監視で「コネクション単位の CPU 消費」を異常検知の指標に追加
DDoS の代名詞だった「物量で殴る」攻撃は、1 台のノート PC で完結する フェーズに入った。守る側も AI を前提に運用設計を組み直すしかない。
COMMENTS 0
No comments yet — be the first to leave one.