【要約】CVE-2026-49975「HTTP/2 Bomb」をわかりやすく解説——AIが人間より先に気づいた脆弱性 [Qiita_Trend] | Summary by TechDistill
> Source: Qiita_Trend
Execute Primary Source
// Problem
セキュリティ研究者が、既存の技術を組み合わせた新しい攻撃手法を見落としていた。個別の技術は既知であったが、それらが組み合わさる破壊的なシナリオを想定できていなかった。これにより、以下の問題が発生する。
- ・HPACK圧縮によるメモリ増幅の悪用。
- ・フロー制御によるメモリ解放の阻止。
- ・これらが組み合わさることで、低帯域でもサーバーをクラッシュさせる。
// Approach
攻撃者は、HTTP/2の仕様に含まれる2つの機能を悪用してメモリを枯渇させる。小さなリクエストからサーバー側のメモリを爆発的に消費させる手法を用いる。
- ・HPACKテーブルへの巨大ヘッダー登録。
- ・1バイトの参照によるメモリ展開の誘発。
- ・フロー制御ウィンドウを0に設定し、メモリを保持し続ける。
// Result
AI(Codex)の活用により、主要なWebサーバー実装における共通の欠陥が迅速に特定された。人間が数ヶ月要する解析を、AIは数時間で完了させた。これにより、以下の状況が判明した。
- ・nginx、Apacheはパッチ適用済み。
- ・IIS、Envoy、Pingoraは未パッチ。
- ・家庭用回線から20秒で32GBのRAMを枯渇可能。
Senior Engineer Insight
> AIによる脆弱性発見の高速化は、パッチ適用のリードタイム短縮を強いる。防御側と攻撃側のAI競争が激化する中、インフラ設計の考え方を変える必要がある。単一の防御策に頼らず、以下の対策を講じるべきだ。
- ・リソース制限(K8sのlimits等)を前提とした設計。
- ・CI/CDへのAI支援型セキュリティレビューの組み込み。
- ・パッチ適用を迅速化する自動化フローの整備。