2026 年 6 月 2 日、米セキュリティ企業 Calif が公表した HTTP/2 の DoS 攻撃 HTTP/2 Bomb (CVE-2026-49975) が、ネット業界を揺らしている。100Mbps の家庭回線につながれたデスクトップ 1 台で、nginx・Apache・IIS・Envoy・Cloudflare Pingora といった主要サーバを数秒で沈黙させられる、というものだ。さくらインターネットが 6 月 5 日に HTTP/2 を一旦切って HTTP/1.1 に退避したことからも、深刻さが伝わる。
100Mbps で 32GB を吹き飛ばす #
Calif の検証では単一クライアントから 20 秒で Apache httpd や Envoy のサーバメモリ 32GB を食い尽くせる。標準設定のままで動いている既定スタックは 88 万サイト規模 に及ぶとされ、影響は無視できない。
HPACK 圧縮爆弾 × Slowloris の合成 #
仕掛けは突飛なゼロデイではなく、10 年来の既知技法 2 つを組み合わせたものだ。
1 バイト 規模の入力を数 MB に展開させてメモリ確保を強要する。それぞれは古典だが、HTTP/2 実装の デフォルトの寛容さ がこの合成を見逃していた。
AI が見つけた「誰も組み合わせなかった盲点」 #
特筆すべきは発見者が OpenAI Codex だった点だ。Calif によれば、Codex は各サーバの実装コードを読み「HPACK 爆弾と Slowloris ホールドは合成可能」とみずから気づき PoC を組み立てた。Calif 自身が「見れば自明だが、これまで誰も人間がやっていなかった」と認めている。
LLM は脆弱性発見でも"労働力"になり始めた。攻撃側も同じツールを持つ以上、実装の組み合わせ盲点はこれが最後ではない と覚悟しておくべきだ。
運用側の動き #
nginx は 4 月、Apache は 5 月末に修正済 (CVE-2026-49975)。IIS・Envoy・Cloudflare Pingora は本稿時点で未パッチ。自前で TLS 終端や L7 を運用している事業者は、HPACK テーブルサイズ・ストリーム数・接続保持時間の上限を見直したい。短期的には HTTP/2 の一時停止も実効的な選択肢で、止めても HTTP/1.1 にフォールバックするだけだ。「機能を一段落とす」勇気 が、いま現場に求められている。
COMMENTS 0
No comments yet — be the first to leave one.