HTTP/1.1 の構造的な脆弱性について再考:無数の Web サイトに乗っ取りの可能性

HTTP/1.1 Vulnerability Could Let Attackers Hijack Millions of Sites

2025/08/07 gbhackers — HTTP/1.1 には構造的な欠陥が存在し、それを悪用する攻撃者により、あらゆる Web サイトに乗っ取りの可能性があることを、セキュリティ研究者たちが明らかにした。この問題が浮き彫りにするのは、6年以上にわたり Web インフラを脅かしてきた状況が、いまも解消されていないことである。

PortSwigger の最新の研究によると、構造的にみて HTTP/1.1 には安全性が欠如しているため、高度な HTTP desync 攻撃により、無数の Web サイトに乗っ取りのリスクが生じるという。さらに、複数の新種の攻撃を提示する PortSwigger は、CDN 内のコア・インフラを侵害することで、数千万のサイトに影響を及ぼし得る、きわめて深刻な脆弱性を実証した。

これまでの6年間にわたり、さまざまな緩和策がベンダーにより講じられてきたが、それらの回避が可能なことが、研究者たちにより証明され続けてきた。この脅威が広く認知されたのは、2019年に PortSwigger が公表したときであるが、脆弱性への根本的な対処という点では、それ以降において、ほとんど進展がない。

技術的な背景と影響の範囲

根本的な問題は、HTTP/1.1 の設計における致命的な欠陥に起因する。このプロトコルでは、 1件目のリクエストの終了位置と、2件目のリクエストの開始位置に対して、攻撃者による曖昧さの生成が可能になってしまう。

この曖昧性を突く攻撃者は、リクエストの境界を操作することで、Web アプリ全体と基盤インフラを侵害し得る、リクエスト・スマグリング攻撃を仕掛けられる。

こうした攻撃は、サーバやプロキシの間での、HTTP リクエスト解釈の差異を悪用するものであり、セキュリティ・システムには正当な通信に見えるが、悪意を注入したリクエストを生成することで、バックエンド・サーバ上での有害な操作を可能にする。

HTTP/2 以降においては、このような曖昧性が排除されており、desync 攻撃の成立は極めて困難となっている。しかし、セキュリティ専門家たちが警告するのは、エッジ・サーバで HTTP/2 を有効化するだけでは不十分であり、リバース・プロキシとオリジン・サーバの間の、アップストリーム接続においても HTTP/2 を適用する必要があることだ。つまり、依然として多くのコンフィグで HTTP/1.1 に依存している現状では、この脆弱性が残存していることになる。

PortSwigger は、”HTTP/1.1 Must Die: The Desync Endgame” と題した包括的なイニシアチブを立ち上げ、あらゆる組織に対して、この脆弱なプロトコルからの脱却を促している。また、同社による調査の結果では、アップストリーム HTTP/2 の有効化や、オリジン・サーバが新しいプロトコルに対応可能であることの確認といった、即時的に実施できる対策も提示されている。

HTTP/1.1 に依存している組織に対しては、以下の対応が推奨されている:

  • フロントエンド・システムでのリクエスト検証および正規化機能の実装
  • アップストリーム接続の再利用の無効化
  • HTTP/2 サポートの導入スケジュールに関する、ベンダーとの連携強化

HTTP Request Smuggler v3.0/HTTP Hacker などの、オープンソース・ツールを開発するサイバー・セキュリティ・コミュニティは、ユーザー組織における定期的なセキュリティ・スキャンを通じて、脅威の特定と防御を支援している。

この脆弱性が影響を及ぼす範囲は、個々の Web サイトから、主要な CDN プロバイダに至るまでの、広範な Web インフラとなっている。したがって、Web セキュリティを確保するためには、現代的な HTTP プロトコルへの移行が、業界全体において速やかに進められる必要がある。

HTTP/1.1 が持つ構造的な欠陥が原因で、複数のサーバやプロキシ間で発生するリクエスト解釈のズレを悪用する、”HTTP desync 攻撃” が成立するとのことです。リクエストの境界が曖昧になることで、悪意のリクエストが正規の通信として処理され、アプリやインフラが侵害される可能性があると、この記事は指摘しています。同じく 8月7日にポストした、「Akamai Ghost の脆弱性 CVE-2025-32094 が FIX:深刻な HTTP リクエスト・スマグリングの可能性」も、この問題に関係するようです。よろしければ、HTTP/2 で検索も、ご参照ください。