2026年、新たなサイバー攻撃手法「HTTP/2ボム」が発見されました。この攻撃は、HTTP/2プロトコルの仕組みを悪用し、わずか1バイトのデータでサーバーのメモリを数千倍に膨張させる「HPACK圧縮増幅攻撃」と、応答を完了できないようにする「フロー制御ウィンドウ操作」を組み合わせたものです。攻撃により、脆弱なWebサーバーは数秒以内に利用不能になります。家庭用の100Mbps接続でも攻撃可能で、Apache httpdやEnvoy、nginx、Microsoft IISなど主要サーバーソフトウェアが影響を受けます。

研究チームは、OpenAIのコーディング支援AI「Codex」を活用してこの攻撃の組み合わせを発見しました。実際のテストでは、Envoy 1.37.2は約10秒で32GBのRAMを消費し、Apache httpd 2.4.67は約18秒、nginx 1.29.7は約45秒、IIS（Windows Server 2025）は約45秒で64GBのRAMが枯渇しました。この攻撃の要素単体は既知でしたが、両者を組み合わせたことで極めて高い効果が生まれた点が新たな脅威です。

現在、Apache、nginx、Envoyは修正済みですが、Microsoft IISとPingora向けのパッチは未定です。対策として、HTTP/2の無効化や、ヘッダー数制限を設けたプロキシ・ファイアウォールの導入が推奨されています。今後、クラウドサービスや大手Webサービスへの影響拡大が懸念されています。