AkamaiはLayerXを買収し、あらゆるブラウザにエンドツーエンドのセキュリティとリアルタイムのAI利用制御を提供します。 詳細を見る

CVE-2026-26365:不適切な処理「Connection:Transfer-Encoding」

Akamai Wave Blue

Feb 20, 2026

Akamai InfoSec

Akamai Wave Blue

執筆者

Akamai InfoSec

共有

2026 年 2 月 6 日、Akamai は、カスタムホップバイホップ HTTP ヘッダーの処理に発生したバグに起因する、HTTP リクエストスマグリングの攻撃ベクトルを排除しました。

背景

HTTP では、一連のホップバイホップ ヘッダーが 定義されており、最初のプロキシがそれを受信した後はリクエストから即座に削除され、次のサーバーに転送されないようになっています。

クライアントは、HTTP に標準で指定されているホップバイホップヘッダーに加えて、「Connection」ヘッダーに独自のヘッダー名をリストすることで、独自のカスタム・ホップバイホップ・ヘッダーを定義できます。例:“ Connection: My-Custom-Hop-By-Hop-Header”

脆弱性の詳細

Akamai のエッジサーバーには、「Transfer-Encoding」をカスタム・ホップバイホップ・ヘッダーとして指定するリクエストの不適切な処理を実行するバグがありました。具体的には、攻撃者が「Connection: Transfer-Encoding」のヘッダーを含む悪性のリクエストを細工できる状態だったため、HTTP リクエストスマグリング攻撃につながる、不適切なメッセージフレーミングを伴う転送リクエストが発生するおそれがありました。

この脆弱性が実際に悪用されるかどうかは、その特定のリクエストの配信に選択された内部の Akamai 処理パスと、該当するリクエストを受信したときのオリジンサーバーの動作によって決まります。

緩和策

Akamai は 2025 年 12 月 30 日にこの問題を認識し、すみやかに調査を開始しました。2026 年 2 月 6 日、完全な修正が展開され、すべての Akamai サービスからこの脆弱性が完全に排除されました。お客様による修復アクションは不要です

Akamai は、定期的なインシデント対応と脆弱性分析の一環として、CVE-2026-26365 を通じてこの問題を開示しました。

謝辞

Akamai の脆弱性報奨金制度を通じてこの問題を報告し、調査全体に協力してくださった「Google Cloud Mandiant チームの Jake Murphy 氏」に感謝申し上げます。

Akamai Wave Blue

Feb 20, 2026

Akamai InfoSec

Akamai Wave Blue

執筆者

Akamai InfoSec

タグ

共有

関連するブログ記事

セキュリティリサーチ
Model Context Protocol (MCP) 新仕様のセキュリティリスクと対策
June 25, 2026
2026年7月リリースのModel Context Protocol(MCP)新仕様により、エンタープライズAIのセキュリティ境界はどう変わるのか?ステートレス化で解消される過去の脆弱性と、MCP Appsや非同期タスクがもたらす新たなアタックサーフェス(攻撃対象領域)への対策を解説します。
リサーチ
Mini Shai-Hulud:ワームが復活し、世に放たれる
2026年に発生したShai-Huludのサプライチェーン攻撃についてご覧ください。TeamPCPが、悪性ペイロード内でどのようにCIキャッシュポイズニングとOIDCの悪用を行っているかを明らかにします。
セキュリティリサーチ
CVE-2025-29635:D-Linkデバイスを狙うMiraiキャンペーン
April 21, 2026
Akamai SIRTが発見したD-Linkのコマンドインジェクションの脆弱性(CVE-2025-29635)に対する攻撃の実態について説明します。