2026 年 2 月 6 日、Akamai は、カスタムホップバイホップ HTTP ヘッダーの処理に発生したバグに起因する、HTTP リクエストスマグリングの攻撃ベクトルを排除しました。
背景
HTTP では、一連のホップバイホップ ヘッダーが 定義されており、最初のプロキシがそれを受信した後はリクエストから即座に削除され、次のサーバーに転送されないようになっています。
クライアントは、HTTP に標準で指定されているホップバイホップヘッダーに加えて、「Connection」ヘッダーに独自のヘッダー名をリストすることで、独自のカスタム・ホップバイホップ・ヘッダーを定義できます。例:“ Connection: My-Custom-Hop-By-Hop-Header”
脆弱性の詳細
Akamai のエッジサーバーには、「Transfer-Encoding」をカスタム・ホップバイホップ・ヘッダーとして指定するリクエストの不適切な処理を実行するバグがありました。具体的には、攻撃者が「Connection: Transfer-Encoding」のヘッダーを含む悪性のリクエストを細工できる状態だったため、HTTP リクエストスマグリング攻撃につながる、不適切なメッセージフレーミングを伴う転送リクエストが発生するおそれがありました。
この脆弱性が実際に悪用されるかどうかは、その特定のリクエストの配信に選択された内部の Akamai 処理パスと、該当するリクエストを受信したときのオリジンサーバーの動作によって決まります。
緩和策
Akamai は 2025 年 12 月 30 日にこの問題を認識し、すみやかに調査を開始しました。2026 年 2 月 6 日、完全な修正が展開され、すべての Akamai サービスからこの脆弱性が完全に排除されました。お客様による修復アクションは不要です。
Akamai は、定期的なインシデント対応と脆弱性分析の一環として、CVE-2026-26365 を通じてこの問題を開示しました。
謝辞
Akamai の脆弱性報奨金制度を通じてこの問題を報告し、調査全体に協力してくださった「Google Cloud Mandiant チームの Jake Murphy 氏」に感謝申し上げます。
タグ
