セキュリティアップデート:HTTP/2 Bomb脆弱性への対応について
※本情報は既に3CX、3CXクラウドがセキュリティ対応実施済みのnginx脆弱性に関する技術解説記事です。
※3CXクラウドサービスをご利用のお客様、最新バージョンの3CXをお使いのお客様は影響ございませんのでご安心ください。
HTTP/2 Bomb(CVE-2026-49975)に関する情報公開
最近公開されたサービス妨害(DoS)攻撃の脆弱性「HTTP/2 Bomb(CVE-2026-49975)」が、複数のWebサーバー実装に影響を与えることが確認されました。
CVE-2026-49975は「HTTP/2 Bomb」とも呼ばれ、nginx、Apache HTTP Server、Microsoft IIS、Envoy、Cloudflare Pingoraなど、主要なWebサーバーの多くに影響を及ぼすリモート型DoS脆弱性です。
この脆弱性は、各サーバーのデフォルトのHTTP/2設定に起因しており、HTTP/2が有効な環境では、攻撃者がサーバーリソースを過剰に消費させることで、サービスの性能低下や一時的な停止を引き起こす可能性があります。
本脆弱性の公開を受け、当社ではお客様環境を保護するためのセキュリティホットフィックスを迅速に提供しました。本記事では、脆弱性の技術的な背景と、当社の対応内容について詳しくご説明します。
—
HTTP/2 Bombとは?
この攻撃は、HTTP/2プロトコルの以下2つの機能を組み合わせて悪用します。
・HPACKヘッダー圧縮
・フロー制御(Flow Control)ウィンドウ
攻撃者は認証不要で単一の接続から大量のサーバーメモリを消費させることができます。
わずか1バイトの通信データが、サーバー側で数千バイト規模のメモリ割り当てを発生させる可能性があり、さらに攻撃者がゼロウィンドウ更新を継続的に送信することで、そのメモリを長時間占有し続けることができます。
その結果、一般的なインターネット接続を利用する1台のマシンからでも、数秒以内に脆弱なサーバーを利用不能な状態へ追い込むことが可能です。
なお、nginxでは2025年4月にリリースされたバージョン1.29.8において、「max_headers」制限を導入することで本問題へ対応しています。ただし、当時は正式なCVEが割り当てられていなかったため、多くのディストリビューションのセキュリティトラッカーへの反映が遅れる結果となりました。
—
対応のタイムライン
| 日時(UTC) | 内容 |
| —————— | ————————————————– |
| 2026年6月2日 19:36 | CVE-2026-49975(HTTP/2 Bomb)公開 |
| 2026年6月3日 06:52 ET | Calif氏による技術解説が公開 |
| 2026年6月3日 14:30 | 3CXがDebianセキュリティメンテナーへパッチ提供時期を問い合わせ |
| 2026年6月4日 | Debianパッケージへの依存を回避するため、nginxを3CXへ直接組み込む方針を決定 |
| 2026年6月5日 | Windows版・Linux版向けセキュリティホットフィックスをリリース。ホスティング環境は一括更新 |
| 2026年6月8日 | Debianリポジトリでnginx修正版が公開 |
—
nginxを直接組み込んだ理由
これまで3CXのLinux版では、Debianが提供するnginxパッケージを利用していました。
しかし、本脆弱性の公表時点では、修正版であるnginx 1.29.8がDebian BookwormおよびTrixieのリポジトリで利用できない状況でした。
そこで当社は、外部のパッケージ提供スケジュールに依存することなく迅速な対応を実現するため、nginxを3CXのインストールおよびアップデートプロセスへ直接組み込むことを決定しました。
この方針により、
・提供するnginxのバージョンを完全に管理可能
・将来的な脆弱性にも迅速に対応可能
・すべてのサポート対象プラットフォームへ同時に修正を提供可能
といったメリットが得られます。
将来的にDebianから十分な修正版パッケージが提供された場合には、再びディストリビューション提供版へ戻すかどうかを検討する予定です。
### 更新情報
Debianでも本脆弱性に対応したアップデートが提供され始めています。しかし現時点では、当社独自に最適化・軽量化したnginxを継続利用する方針です。
これにより、今後新たな脆弱性が発見された場合でも、より迅速な対応が可能となります。
—
セキュリティアップデート機能の強化について
今後リリース予定のUpdate 10では、より細かな制御が可能なセキュリティアップデート機能を提供する予定です。
詳細については、追ってご案内いたします。
—
影響を受ける環境と必要な対応
以下の環境では、本脆弱性の影響を受ける可能性があります。
・オンプレミス環境
・クラウド環境
・nginxがインターネットから直接アクセス可能な状態で公開されている環境
まだホットフィックスを適用されていない場合は、管理コンソールの「システム」→「アップデート」
から速やかに更新を実施してください。
直ちに対応が不要なお客様
・3CXクラウドサービスをご利用の場合
お客様による対応は不要です。
本記事の公開前に、当社側で対象環境への修正適用を完了しています。
■ファイアウォール配下で運用している場合
以下の条件を満たす環境では、外部から攻撃を受けることができないため、緊急対応は不要です。
・オンプレミス環境またはクラウド環境
・nginxがインターネットへ直接公開されていない
・ファイアウォール等で保護されている
次回の計画メンテナンス時にアップデートを適用してください。
●参考リンク
https://www.3cx.com/blog/news/http2-vulnerability-mitigation/
※本情報は、CCアーキテクトが日本国内向けに要約・再構成したものです。
※クラウドサービスをご利用のお客様は、弊社側で検証の上、定期メンテナンスにて本HotFixの適用を順次実施いたします。
※オンプレミス環境をご利用のお客様は、上記手順を参考に、管理者様にてアップデートの実施をご検討ください。
