HTTP/2プロトコルに深刻なサービス拒否(DoS)脆弱性「MadeYouReset」(CVE-2025-8671)が発見された。この脆弱性は企業のウェブサービスに重大な脅威をもたらす一方、適切な理解と対策により影響を最小限に抑えることが可能だ。
脆弱性の技術的概要
MadeYouResetは2025年8月13日から14日にかけて公開された。テルアビブ大学の研究者により発見され、CERT/CCが管理する協調的な情報公開を受けた。
この攻撃は2023年の「Rapid Reset」攻撃の進化形である。従来の攻撃ではクライアントがRST_STREAMフレームを送信していた。MadeYouResetではサーバーにRST_STREAMフレームの送信を強制する点が異なる。
攻撃者は構文的に有効な制御フレームを送信してサーバー側でプロトコルエラーを引き起こす。具体的な攻撃手法には以下が含まれる:
- WINDOW_UPDATEフレーム:増分値がゼロまたはフロー制御ウィンドウを上限超過させるフレーム
- ハーフクローズドストリーム上のフレーム:END_STREAMフラグでクローズされたストリームへの追加フレーム
- PRIORITYフレームの不正な形式:要求される5オクテット以外の長さを持つフレーム
企業インフラへの影響と深刻度
主な脅威はリソース枯渇によるサービス拒否状態だ。サーバーのHTTP/2レイヤーがRST_STREAMを送信するとストリームが閉じたと認識する。しかし、バックエンドのアプリケーションレイヤーは処理を継続し、CPUとメモリを消費し続ける。
この脆弱性のCVSSスコアは7.5(高)と評価されている。ベクトルはCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:Hである。攻撃元区分はネットワーク、攻撃条件の複雑さは低い。攻撃に必要な特権レベルは不要で、可用性への影響は高い。
影響を受けるソフトウェア
広範囲の一般的なサーバーソフトウェアが影響を受ける:
- Apache Tomcat:バージョン11.0.0-M1~11.0.9、10.1.0-M1~10.1.43、9.0.0.M1~9.0.107、8.5.0~8.5.100
- Varnish Cache:7.7.1以前の全リリース
- Netty、Jetty、IBM WebSphere、F5 BIG-IPなど
主要Webサーバーの対応状況
- Apache HTTP Server:公式にはCVE-2025-8671に対する直接的なアドバイザリは未公開だが、関連する脆弱性CVE-2025-53020がバージョン2.4.64で修正済み。このメモリリーク修正により、MadeYouReset攻撃に対しても間接的に対応済みと評価される
- nginx:複数の第三者機関による評価で「Not Affected」(影響なし)と確認済み。nginxのイベント駆動型アーキテクチャが本脆弱性の発生条件を本質的に許容しないため、現行バージョンで直接的な対策は不要
CDNサービスの対応状況
注目すべき点は、主要CDNサービスの多くが影響を受けないことだ:
- AWS CloudFront:公式セキュリティ速報は未発行だが、これは顧客側での対応が不要であることを示唆。2023年のRapid Reset攻撃を受けて導入された高度な振る舞いベース緩和策により、MadeYouReset攻撃も既存の防御システムで保護されていると推定される
- Cloudflare、Akamai、LiteSpeed:2023年の「Rapid Reset」攻撃への対応で実装された緩和策が、意図せずこの新しい攻撃からも保護
Rapid Resetからの進化と検知の困難さ
MadeYouResetはRapid Resetより「ステルス性」が高い。従来の攻撃では大量のRST_STREAMフレームが特徴的だった。新しい攻撃では、クライアントのトラフィックパターンがより正常に見える。
これまでの緩和策はクライアントが送信するRST_STREAMフレームのレート制限に焦点を当てていた。MadeYouResetは、サーバー自身にリセットを開始させることで、このような防御を迂回する。
効果的な防御には、単純なフレーム数の監視を超えた深いプロトコル検査とHTTP/2接続の状態理解が必要だ。
企業の緊急対応策
即時の技術的対応
緊急のパッチ適用が最優先事項だ。ベンダーが提供するパッチを直ちに適用する必要がある。
パッチ適用が困難な場合の一時的緩和策:
– HTTP/2制御フレーム(WINDOW_UPDATE、PRIORITY)への厳格なレート制限実装
– プロトコルフローエラーを接続レベルのエラーとして扱い、接続全体を切断
– 重要だがパッチ適用不可能なシステムでは、最終手段としてHTTP/2を無効化しHTTP/1.1にダウングレード
ウェブアプリケーションファイアウォール(WAF)とCDNの活用
MadeYouReset攻撃パターンを検出・ブロックするよう更新されたWAFやDDoS保護サービスの導入が有効だ。
特に効果的な対策として、対策済みのCDNサービス(AWS CloudFront、Cloudflare、Akamaiなど)を使用することが挙げられる。これらのサービスは既にRapid Reset対策を実装しており、MadeYouReset攻撃からも保護される。
今後の展望と長期的対策
HTTP/3への移行検討
企業はHTTP/3への移行を検討すべきだ。TCPではなくQUIC上に構築されたHTTP/3は、HTTP/2の根本的な問題を緩和するよう設計されている。特定のクラスのDoS攻撃に対してより高いレジリエンスを提供する可能性がある。
実際の移行方法として、HTTP/3対応済みのCDNサービス(CloudFlare、AWS CloudFrontなど)を設定することで、Webサーバー自体を変更することなくHTTP/3に対応することが可能だ。これにより、既存インフラへの影響を最小限に抑えながら、より安全なプロトコルを活用できる。
プロアクティブなセキュリティ文化
セキュリティが後付けではなく、開発から展開、保守に至るまでの技術ライフサイクル全体に組み込まれる文化の構築が重要だ。
サプライチェーンセキュリティ
ホスティングプロバイダー、クラウドベンダー、ソフトウェアサプライヤーに対し、CVE-2025-8671に関する脆弱性状況と緩和計画について透明性を要求することが必要だ。
企業の戦略的視点
BKK IT Newsとしては、この脆弱性が示すのは単なる技術的な問題ではないと考える。プロトコルレベルの攻撃における危険な傾向の一部であり、企業は防御戦略の根本的な見直しが必要だ。
MadeYouResetは、単純な実装バグの悪用から、プロトコル仕様ロジックを兵器化する方向への移行を示している。これは解決がはるかに困難な問題だ。
企業は単純なパッチ適用だけでなく、プロトコルの「正しい」準拠がセキュリティリスクとなる可能性を理解し、RFCから逸脱する場合があることを受け入れる必要がある。
将来のインターネット標準は「敵対的解釈」を念頭に置いて設計されなければならない。防御側は回復力のために、プロトコルの文字通りの仕様と矛盾する可能性のあるセキュリティポリシーの実装準備が求められる。
