ニュース
2026-06-05
【注意喚起】HTTP/2 BombによるDoS脆弱性(CVE-2026-49975)への対応のお願い
平素よりConoHa VPSをご利用いただき、誠にありがとうございます。
このたび、Webサーバーとして広く利用されている「nginx」や「Apache httpd」をはじめとする複数のソフトウェアにおいて、HTTP/2 Bombと呼ばれるサービス拒否(DoS)脆弱性が報告されました。これらの脆弱性を悪用されると、少量の通信でサーバーのメモリを急速に枯渇させるおそれがあります。
その結果、サーバーのダウンおよびWebサービスの提供停止といった深刻なリスクが発生する可能性がございます。
ConoHa VPS上で対象のソフトウェアをご利用のお客様におかれましては、内容をご確認いただき、速やかに最新バージョンへのアップデート、または回避策を実施いただけますようお願い申し上げます。
【脆弱性の概要】
HTTP/2が有効な構成において、HPACKの圧縮爆弾(Compression Bomb)とSlowloris型の接続保持手法を組み合わせることにより、単一の攻撃者でもサーバーのメモリを意図的に枯渇させることができる脆弱性です。
CVE番号:
CVE-2026-49975(深刻度:High)
※脅威解説記事等ではCritical相当として扱われる場合があります。
※上記はApache httpd向けに割り当てられたCVEです。その他の影響を受ける製品については、個別に対応が行われている、またはCVEが未割当となっている場合があります。
【影響】
リモートからのサービス拒否(DoS)およびメモリ枯渇
※攻撃を実行するための特別な権限(管理者権限等)は不要です。対象のWebサーバーにてHTTP/2通信が有効化されている場合、インターネット経由で単一の攻撃者から実行が可能です。
【対象となるお客様】
ConoHa VPSをご利用中のお客様で、サーバー内に以下のWebサーバーをインストールし、該当の環境を利用されているお客様。
nginx:v1.29.8未満のバージョン
Apache httpd:HTTP/2を有効にしており、mod_http2 v2.0.41相当の修正が未適用の環境
※Microsoft IIS、Envoy、Cloudflare Pingoraなど、その他のHTTP/2対応サーバーについても同様の影響が報告されています。
【対策方法】
対象ソフトウェアを脆弱性が修正された最新バージョンにアップデートするか、設定の変更を行ってください。
nginxをご利用の場合
OSのパッケージマネージャー等を利用し、v1.29.8以降へアップデートを実施してください。
Apache httpdをご利用の場合
本脆弱性はmod_http2 v2.0.41で修正されていますが、一般的な2.4系のOS標準パッケージには、まだ修正が反映されていない場合がございます。
パッケージのアップデートで修正版が適用されない場合は、後述の【一時的な回避策】の実施を強く推奨いたします。
【一時的な回避策(アップデートが困難な場合)】
修正パッチの適用が難しい場合や、未提供のソフトウェアをご利用の場合は、以下の回避策をご検討ください。
・HTTP/2の無効化
プロトコルをHTTP/1.1へダウングレードする
(例:nginxでの「http2 off;」設定、Apacheでの「Protocols http/1.1」設定など)
・メモリ上限の設定
cgroups等によるワーカープロセスのメモリ上限設定
・ヘッダー制限
プロキシ等を用いた、リクエストごとのヘッダー数の厳格な制限
詳細な手順や最新情報については、以下の参考記事および各ベンダーの解説情報をご参照ください。
■参考URL(公式脆弱性情報・解説)
Tenable CVE-2026-49975 脆弱性情報
https://www.tenable.com/cve/CVE-2026-49975
Radware 脅威アドバイザリ(AI-Discovered HTTP/2 Bomb)
https://www.radware.com/security/threat-advisories-and-attack-reports/ai-discovered-http-2-bomb-affects-major-web-servers/
今後ともConoHaをご愛顧賜りますよう、よろしくお願い申し上げます。
このたび、Webサーバーとして広く利用されている「nginx」や「Apache httpd」をはじめとする複数のソフトウェアにおいて、HTTP/2 Bombと呼ばれるサービス拒否(DoS)脆弱性が報告されました。これらの脆弱性を悪用されると、少量の通信でサーバーのメモリを急速に枯渇させるおそれがあります。
その結果、サーバーのダウンおよびWebサービスの提供停止といった深刻なリスクが発生する可能性がございます。
ConoHa VPS上で対象のソフトウェアをご利用のお客様におかれましては、内容をご確認いただき、速やかに最新バージョンへのアップデート、または回避策を実施いただけますようお願い申し上げます。
【脆弱性の概要】
HTTP/2が有効な構成において、HPACKの圧縮爆弾(Compression Bomb)とSlowloris型の接続保持手法を組み合わせることにより、単一の攻撃者でもサーバーのメモリを意図的に枯渇させることができる脆弱性です。
CVE番号:
CVE-2026-49975(深刻度:High)
※脅威解説記事等ではCritical相当として扱われる場合があります。
※上記はApache httpd向けに割り当てられたCVEです。その他の影響を受ける製品については、個別に対応が行われている、またはCVEが未割当となっている場合があります。
【影響】
リモートからのサービス拒否(DoS)およびメモリ枯渇
※攻撃を実行するための特別な権限(管理者権限等)は不要です。対象のWebサーバーにてHTTP/2通信が有効化されている場合、インターネット経由で単一の攻撃者から実行が可能です。
【対象となるお客様】
ConoHa VPSをご利用中のお客様で、サーバー内に以下のWebサーバーをインストールし、該当の環境を利用されているお客様。
nginx:v1.29.8未満のバージョン
Apache httpd:HTTP/2を有効にしており、mod_http2 v2.0.41相当の修正が未適用の環境
※Microsoft IIS、Envoy、Cloudflare Pingoraなど、その他のHTTP/2対応サーバーについても同様の影響が報告されています。
【対策方法】
対象ソフトウェアを脆弱性が修正された最新バージョンにアップデートするか、設定の変更を行ってください。
nginxをご利用の場合
OSのパッケージマネージャー等を利用し、v1.29.8以降へアップデートを実施してください。
Apache httpdをご利用の場合
本脆弱性はmod_http2 v2.0.41で修正されていますが、一般的な2.4系のOS標準パッケージには、まだ修正が反映されていない場合がございます。
パッケージのアップデートで修正版が適用されない場合は、後述の【一時的な回避策】の実施を強く推奨いたします。
【一時的な回避策(アップデートが困難な場合)】
修正パッチの適用が難しい場合や、未提供のソフトウェアをご利用の場合は、以下の回避策をご検討ください。
・HTTP/2の無効化
プロトコルをHTTP/1.1へダウングレードする
(例:nginxでの「http2 off;」設定、Apacheでの「Protocols http/1.1」設定など)
・メモリ上限の設定
cgroups等によるワーカープロセスのメモリ上限設定
・ヘッダー制限
プロキシ等を用いた、リクエストごとのヘッダー数の厳格な制限
詳細な手順や最新情報については、以下の参考記事および各ベンダーの解説情報をご参照ください。
■参考URL(公式脆弱性情報・解説)
Tenable CVE-2026-49975 脆弱性情報
https://www.tenable.com/cve/CVE-2026-49975
Radware 脅威アドバイザリ(AI-Discovered HTTP/2 Bomb)
https://www.radware.com/security/threat-advisories-and-attack-reports/ai-discovered-http-2-bomb-affects-major-web-servers/
今後ともConoHaをご愛顧賜りますよう、よろしくお願い申し上げます。
