Google・Cloudflare・Amazon、HTTP/2の脆弱性ついた最大規模のDDoS攻撃を検知

Google、Cloudflare、Amazonは10日、HTTP/2プロトコルに関連する脆弱性を悪用した最大規模のDDoS攻撃を検知したと発表した。HTTP/2は高速なWebページ表示を可能にするプロトコルで、約60％のWebアプリが現在HTTP/2を使用している。「CVE-2023-44487」を悪用するこの攻撃は「HTTP/2 Rapid Reset Attack」と名付けられている（Googleブログその1、その2、Amazonブログ、Cloudflareブログ、その2、セキュリティホール memo、ITmedia、GIGAZINE）。

Googleは8月にこの攻撃を受け、1秒に3億9800万リクエストという驚異的な攻撃を受けたことを報告している。通常のリクエストの8倍以上で、Wikipediaへの1日分のリクエストをわずか10秒で処理する規模であり、過去最大の規模のものだったという。幸い、Googleは自社の負荷分散インフラを使用して攻撃のほとんどを阻止し、サービスの中断は回避されたとしている。またMicrosoftも10日、HTTP/2 Rapid Reset Attack脆弱性に関するパッチの提供を開始している（窓の杜）。　

スラドのコメントを読む | セキュリティセクション | セキュリティ | バグ | インターネット | アナウンス | IT

　関連ストーリー：
普及が進むHTTP/2 2016年10月13日
RFC 7540「Hypertext Transfer Protocol Version 2（HTTP/2）」がリリースされる 2015年05月18日