平素は当社サービスをご利用いただき誠にありがとうございます。
2026年6月3日に、HTTP/2通信を利用するWebサーバーに関するセキュリティ脆弱性
「HTTP/2 Bomb(CVE-2026-49975)」が公開されましたためご案内いたします。
該当環境をご利用のお客様におかれましては、
ソフトウェアのアップデート、または設定変更等の対策をご検討くださいますようお願いいたします。
脆弱性の詳細は以下の通りです。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■脆弱性の概要
「HTTP/2 Bomb(CVE-2026-49975)」は、HTTP/2の仕様を悪用した
リモートからのサービス拒否(DoS)攻撃の脆弱性です。
攻撃者は細工されたHTTP/2リクエストを送信することで、
サーバー側に過剰なメモリを確保させ、短時間でメモリ枯渇を引き起こす可能性があります。
この攻撃は認証を必要とせず、比較的低い通信量でも成立するため、
Webサービス停止やシステムダウンにつながる恐れがあります。
■対象サービス
KAGOYA CLOUD VPS
専用サーバーFLEX
KAGOYA DC+
cloud tap
※上記はOS・ミドルウェアの管理権限がお客様にあるサービスとなります。
■当社マネージドサービスへの影響
以下のサービスにおいては対策済みとなります。
レンタルサーバープラン
desknet’s NEO専用プラン
■影響を受ける可能性のあるソフトウェア
HTTP/2を有効にしている以下のWebサーバー
・nginx
・Apache HTTP Server
・Microsoft IIS
・Envoy
・Cloudflare Pingora
※デフォルト設定でHTTP/2が有効な環境が対象となる可能性があります。
■対策方法
・各ベンダーが提供する修正アップデートを適用してください
・修正が未提供、または適用が困難な場合
HTTP/2の無効化などの設定変更をご検討ください
(例)
・nginx:最新版(1.29.8以降)へのアップデート
・Apache:修正済みモジュール適用 または HTTP/2無効化
■注意事項
・公開PoCが存在しており、悪用リスクが高い状態です
・少量トラフィックでも攻撃が成立するため、インターネット公開サービスは特に注意が必要です
・WAF等では検知が難しいケースもあるため、根本対策(アップデート/設定変更)が推奨されます
■メーカー情報URL
Red Hat(Security Bulletin)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本件はお客様管理環境での対応が必要となりますため、
内容をご確認のうえ、対策をご検討くださいますようお願い申し上げます。
