HTTP/2は少ない接続で多くのデータをやり取りできるよう設計されているのですが、この効率性が、攻撃者にとっては「少ないリソースで大きな負荷をかけられる」状況を生む。
つまり、攻撃コストと防御コストのバランスが崩れている状態になっています。
従来のDoSは大量トラフィックが必要だったのですが、今回の手法ではその前提が崩れつつあり、これは単なるバグではなく、プロトコル設計の副作用ともいえるでしょう。
クラウド時代の集中リスク
現在、多くのWebサービスはクラウドや共有基盤上で運用されていて、一見すると堅牢に見えるのですが、実際は同じ仕組みを多くのサービスが共有しているため、特定の弱点が見つかると影響は一気に広がってしまいます。
さくらインターネットなどが迅速に対策を進めているのは、この横断的リスクがあるためで、個別企業の問題ではなく、インフラ全体の問題として扱う必要があります。
防御の主役は誰になるのか
今回のような脆弱性では、個人や企業が単独で完全に防ぐことは難しい。
対策の中心はクラウド事業者やミドルウェア開発者になるが、その一方で、利用者側も設定や構成で影響を受けるため、責任が完全に分離されているわけではないといえる。
この「責任の分散構造」が、対応の遅れや認識のズレを生みやすく、その結果として、問題が顕在化してから広く知られるケースが増えている。
HTTP/2 Bombは、技術の進化が必ずしも安全性と一致しないことを示し、効率化、集中化、責任の分散という現代インターネットの特徴が重なった結果、小さな攻撃が大きな影響を持つ構造が生まれている。
この問題は一過性ではなく、今後も形を変えて繰り返される可能性が高い。
