つみかさね

CVE-2026-13763

Critical(9.8)

AWS ALB WAF HTTP/2バイパス CVE-2026-13763:影響範囲と対応方法

公開日: 2026-07-03データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
AWS Application Load Balancer + AWS WAF(HTTP/2ターゲットグループ)Amazon Web Services設定変更前(「Inspect after sufficient data」未設定)

対応ガイド

high|対応必須設定変更影響: 広範

推奨アクション

  1. 1AWS ALB + AWS WAFを使用しているか確認する
  2. 2AWSコンソールでターゲットグループの「属性」タブを開く
  3. 3「Inspect after sufficient data」オプションを有効化する
  4. 4複数のターゲットグループがある場合は全て確認・設定する

影響対象

AWS ALB + AWS WAF HTTP/2ターゲットグループ利用者

補足

  • -CloudFront(CVE-2026-13762)はサーバーサイドで修正済みですが、ALBは利用者側での設定変更が必要です
  • -HTTP/2が有効なターゲットグループのみが影響を受けます
CVEAWSALBWAFHTTP/2セキュリティバイパス

30秒で判断

対応すべき人:

  • AWS Application Load Balancer(ALB)+ AWS WAFを組み合わせて使用している
  • ALBターゲットグループがHTTP/2を受け付けている

対応不要な人:

  • AWS ALBを使用していない(CloudFrontのみ → CVE-2026-13762はサーバーサイドで修正済み)
  • HTTP/2を使用していない構成
  • 既に「Inspect after sufficient data」オプションを有効化済み

確認・対処方法:

AWSコンソール → EC2 → ターゲットグループ → 対象グループを選択
→ 属性タブ → 「Inspect after sufficient data」を有効化

概要

AWS Application Load Balancer(ALB)にAWS WAFを組み合わせた構成において、HTTP/2リクエストのボディを複数のフレームに分割して送信することで、AWS WAFのマネージドルールによるボディ検査が部分的にしか適用されない問題です。

HTTP/2では1つのリクエストボディを複数のDATAフレームに分割して転送できます。この分割されたボディを受け取ったAWS WAFが最初のフレームのみを検査対象とする場合、後続フレームに含まれる悪意あるペイロード(SQLインジェクション、XSSペイロード等)がWAFルールを通過する可能性があります。

CloudFront(CVE-2026-13762)とは異なり、ALBの場合は利用者側での設定変更が必要です。

対処方法はターゲットグループ属性の「Inspect after sufficient data(十分なデータを受信後に検査)」オプションを有効化することです。これにより、WAFがボディフレームをすべて受け取ってから検査を実施するようになります。


CVSSベクトル

項目
CVSSスコア9.8(Critical)
CWECWE-444(HTTPリクエスト/レスポンスのスマグリング)
攻撃元区分 (AV)ネットワーク (N)
攻撃条件の複雑さ (AC)低 (L)
必要な特権 (PR)なし (N)
ユーザーの関与 (UI)不要 (N)

影響を受けるソフトウェア

製品状態
AWS ALB(HTTP/2ターゲットグループ)+ AWS WAF利用者側での設定変更が必要

修正方法

AWSコンソールでの設定変更:

  1. AWS Management Consoleにログイン
  2. EC2 → ターゲットグループを選択
  3. 「属性」タブ → 「Inspect after sufficient data」を有効化

詳細: ALBターゲットグループ属性ドキュメント

AWS CLIでの設定:

aws elbv2 modify-target-group-attributes \
  --target-group-arn <TARGET_GROUP_ARN> \
  --attributes Key=waf.fail_open.enabled,Value=false
# 具体的なアトリビュート名はAWSドキュメントを参照

関連リンク


データソース: NVD (NIST), AWS Security AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。