Google、米Cloudflare、アマゾン・ウェブサービス（AWS）は共同で、「HTTP/2 Rapid Reset」と名付けられた新たなゼロデイ脆弱性を発表した。この脆弱性は正体不明の脅威アクターによって悪用され、これまでに記録された中で最大の分散型サービス妨害（DDoS）攻撃が仕掛けられている。

この一連のDDoS攻撃のピーク時、Cloudflareでは1秒あたりのリクエスト数（RPS）が2億100万回を超え、Googleでは、ピークが3億9800万RPSに達したことを確認した。昨年の最大規模のDDoS攻撃のピーク時の4600万RPSと比較すると、その差は歴然としている。

この攻撃は、「HTTP/2 Rapid Resetを悪用したストリームの多重化による新しい手口で、複数のインターネット・インフラ企業に影響を及ぼしている」とGoogleはブログで書いている。

標準プロトコルのHTTP/2は、すべてのウェブアプリケーションの約60％を支える屋台骨だ。Cloudflareによると、このプロトコルは、ブラウザがウェブサイトとどのようやり取りするかを定めたもので、ユーザーがウェブサイトを閲覧、双方向のやり取りをする際の速度と品質を左右する。

攻撃者はこれを悪用し、何十万もの「リクエスト」をウェブサイトに殺到させ、それらを突然キャンセルした。「この単純な『リクエスト、キャンセル、リクエスト、キャンセル』のパターンを大規模に自動化することで、攻撃者はサービス拒否（DoS）を引き起こし、HTTP/2の標準的な実装によって実行されているあらゆるサーバーやアプリケーションをダウンさせることができるのです」とCloudflare社CSOのGrant Bourzikas（グラント・ブルジカス）氏はブログ投稿に書いている。

「脅威アクターたちは、悪用できる脆弱性をスイスアーミーナイフのツールのように各種取り揃えていますが、このゼロデイはそこに新しく重要なツールを提供する結果となり、かつてない大規模な攻撃が行われました」

CloudflareとGoogleがDDoS攻撃の増加を警告

CloudflareとGoogleのDDoSレスポンスチームは、DDoS攻撃が指数関数的にエスカレートしているという憂慮すべき傾向を強調した 。

昨年、Googleは4,600万RPSで当時最大規模だったレイヤー7のDDoS攻撃を回避した。2月には、Cloudflareが当時最大のDDoS攻撃からネットワークを守ることに成功したことを明らかにした。

DDoS攻撃は、一般的にインターネット上のウェブサイトやサービスを妨害し、ユーザーが利用できないようにする。Googleによると、「攻撃者が圧倒的な量のインターネット・トラフィックをターゲットに送り込み、ターゲットが受信リクエストを処理する能力を使い果たす可能性がある」という。

このような攻撃は、時間や金銭の損失、ビジネスクリティカルまたはミッションクリティカルなアプリケーションの中断など、被害組織に甚大な影響を及ぼす可能性がある。

新しいゼロデイ脆弱性について何をすべきか

この攻撃に対する脆弱性全体は、CVE-2023-44487として追跡され、CVSSスコアが10点満点中7.5点の深刻度「高」の脆弱性としてマークされている。

Cloudflare、Google、AWS は、サイバーセキュリティの分野における協力的な取り組みの必要性を強調している。

Googleは、「8月にこれらの攻撃の最も初期のものを検知した後、すぐに追加の緩和策を適用し、HTTP/2プロトコルスタックを実装している他のクラウドプロバイダーやソフトウェアメンテナーと業界横断的な対応を調整しました」と述べている。「この業界横断的な協力の結果として、多くの大規模インフラプロバイダーがパッチやその他の緩和技術を使用することができました」とした。

また、インターネット上でHTTPベースのワークロードを提供するすべての組織や個人が、このDDoS攻撃への脆弱性を抱えている可能性があると警告している。「HTTP/2プロトコルを使用して通信できるサーバーやプロキシ上のウェブアプリケーション、サービス、APIは脆弱である可能性があります」

HTTP/2をサポートするサーバーについてはすべて脆弱性がないことを確認し、CVE-2023-44487に対して直ちにパッチを適用することが、この新たな攻撃ベクトルから身を守るためには不可欠だ。

「公開したものについて、常に問題のない状態を保つということは不可能です。攻撃を阻止し、新たなインシデントに対応するためには、組織やセキュリティ・チームが侵害を想定した考え方でいることが必要です。なぜなら、ゼロデイや進化する新たな脅威アクターグループ、これまでに見たことのない新たな攻撃や手口が今後も次々に登場するからです」と氏は述べている。

High-severity vulnerability led to largest-ever DDoS attack, say Google, Cloudflare and AWS