Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 498

HTTP/2 セキュリティ

HTTP/2 セキュリティ とは何ですか?

HTTP/2 セキュリティTLS 1.2 以上で動作する HTTP/2(RFC 9113)のセキュリティモデル、および HPACK・多重化・CONTINUATION フレーム・2023 年の Rapid Reset 攻撃にまつわる運用上の落とし穴。

HTTP/2 は RFC 9113(RFC 7540 を置き換え)で規定され、単一の TLS 接続上で多数のリクエストを多重化し、HPACK(RFC 7541)によるヘッダ圧縮とバイナリフレーミングを採用します。ブラウザの HTTP/2 トラフィックは実質的に TLS 1.2 または 1.3 上で動作し、RFC 9113 9.2 節の暗号スイート制限が必須です。実装は既知の悪用パターンを緩和する必要があります。HPACK Bomb(メモリ増幅)、CONTINUATION フラッド(CVE-2024-27316)、H2-H1 境界でのリクエストスマグリング、そして 2023 年 10 月に開示された Rapid Reset(CVE-2023-44487)では、ストリームを開いては即時 RST_STREAM で取り消し、毎秒約 3.98 億リクエストの過去最大級 DDoS を実現しました。サーバの堅牢化にはストリーム・フレームのクォータ、RST_STREAM のレート制限、最新実装の導入が含まれます。

  1. 01

    CVE-2023-44487(Rapid Reset):攻撃者が HTTP/2 ストリームを開いて RST_STREAM で即取り消し、毎秒約 3.98 億リクエストの DDoS を発生させた。

  2. 02

    CVE-2024-27316:nginx などが上限のない HEADERS+CONTINUATION 系列を受け入れ、メモリを枯渇させた。

よくある質問

HTTP/2 セキュリティ とは何ですか?

TLS 1.2 以上で動作する HTTP/2(RFC 9113)のセキュリティモデル、および HPACK・多重化・CONTINUATION フレーム・2023 年の Rapid Reset 攻撃にまつわる運用上の落とし穴。 サイバーセキュリティの ネットワークセキュリティ カテゴリに属します。

HTTP/2 セキュリティ とはどういう意味ですか?

TLS 1.2 以上で動作する HTTP/2(RFC 9113)のセキュリティモデル、および HPACK・多重化・CONTINUATION フレーム・2023 年の Rapid Reset 攻撃にまつわる運用上の落とし穴。

HTTP/2 セキュリティ はどのように機能しますか?

HTTP/2 は RFC 9113(RFC 7540 を置き換え)で規定され、単一の TLS 接続上で多数のリクエストを多重化し、HPACK(RFC 7541)によるヘッダ圧縮とバイナリフレーミングを採用します。ブラウザの HTTP/2 トラフィックは実質的に TLS 1.2 または 1.3 上で動作し、RFC 9113 9.2 節の暗号スイート制限が必須です。実装は既知の悪用パターンを緩和する必要があります。HPACK Bomb(メモリ増幅)、CONTINUATION フラッド(CVE-2024-27316)、H2-H1 境界でのリクエストスマグリング、そして 2023 年 10 月に開示された Rapid Reset(CVE-2023-44487)では、ストリームを開いては即時 RST_STREAM で取り消し、毎秒約 3.98 億リクエストの過去最大級 DDoS を実現しました。サーバの堅牢化にはストリーム・フレームのクォータ、RST_STREAM のレート制限、最新実装の導入が含まれます。

HTTP/2 セキュリティ からどのように防御しますか?

HTTP/2 セキュリティ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

HTTP/2 セキュリティ の別名は何ですか?

一般的な別名: RFC 9113, h2。

関連用語