30秒で判断
対応すべき人:
- AWS Application Load Balancer(ALB)+ AWS WAFを組み合わせて使用している
- ALBターゲットグループがHTTP/2を受け付けている
対応不要な人:
- AWS ALBを使用していない(CloudFrontのみ → CVE-2026-13762はサーバーサイドで修正済み)
- HTTP/2を使用していない構成
- 既に「Inspect after sufficient data」オプションを有効化済み
確認・対処方法:
AWSコンソール → EC2 → ターゲットグループ → 対象グループを選択
→ 属性タブ → 「Inspect after sufficient data」を有効化
概要
AWS Application Load Balancer(ALB)にAWS WAFを組み合わせた構成において、HTTP/2リクエストのボディを複数のフレームに分割して送信することで、AWS WAFのマネージドルールによるボディ検査が部分的にしか適用されない問題です。
HTTP/2では1つのリクエストボディを複数のDATAフレームに分割して転送できます。この分割されたボディを受け取ったAWS WAFが最初のフレームのみを検査対象とする場合、後続フレームに含まれる悪意あるペイロード(SQLインジェクション、XSSペイロード等)がWAFルールを通過する可能性があります。
CloudFront(CVE-2026-13762)とは異なり、ALBの場合は利用者側での設定変更が必要です。
対処方法はターゲットグループ属性の「Inspect after sufficient data(十分なデータを受信後に検査)」オプションを有効化することです。これにより、WAFがボディフレームをすべて受け取ってから検査を実施するようになります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.8(Critical) |
| CWE | CWE-444(HTTPリクエスト/レスポンスのスマグリング) |
| 攻撃元区分 (AV) | ネットワーク (N) |
| 攻撃条件の複雑さ (AC) | 低 (L) |
| 必要な特権 (PR) | なし (N) |
| ユーザーの関与 (UI) | 不要 (N) |
影響を受けるソフトウェア
| 製品 | 状態 |
|---|---|
| AWS ALB(HTTP/2ターゲットグループ)+ AWS WAF | 利用者側での設定変更が必要 |
修正方法
AWSコンソールでの設定変更:
- AWS Management Consoleにログイン
- EC2 → ターゲットグループを選択
- 「属性」タブ → 「Inspect after sufficient data」を有効化
AWS CLIでの設定:
aws elbv2 modify-target-group-attributes \
--target-group-arn <TARGET_GROUP_ARN> \
--attributes Key=waf.fail_open.enabled,Value=false
# 具体的なアトリビュート名はAWSドキュメントを参照
関連リンク
データソース: NVD (NIST), AWS Security AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
