HTTPリクエストスマグリングとは？わかりやすく解説

HTTPリクエストスマグリング（英:HTTP request smuggling、略称：HRS）は、HTTPプロトコルにおけるセキュリティ脆弱性を利用した攻撃手法である。これは、HTTPプロキシサーバのチェーン内にある複数のHTTPサーバ実装間において、Content-LengthヘッダとTransfer-Encodingヘッダの解釈に不一致があることを利用する^[1]^[2]。共通脆弱性タイプではCWE-444に分類される。

Transfer-Encodingヘッダは、HTTPリクエストのボディをどのように解釈するかという指示を定義するものであり、この攻撃において一般的かつ不可欠な指示はチャンク形式転送エンコードである^[3]。Transfer-Encodingヘッダが存在する場合、Content-Lengthヘッダは省略されることになっている^[3]。Content-Lengthヘッダも同様の役割を果たすが、構文が異なり、ヘッダ自体の値としてボディのサイズをバイト単位で指定する^[4]。悪意のあるHTTPリクエストにこれら両方のヘッダが含まれている場合、フロントエンドサーバまたはバックエンドサーバがリクエストを誤って解釈することで、不正なクエリを防止するためのセキュリティ機能をバイパスしてしまう脆弱性が発生する^[5]。

種類

CL.TE

このタイプのHTTPリクエストスマグリングでは、フロントエンドがContent-Lengthヘッダを使用してリクエストを処理し、バックエンドがTransfer-Encodingヘッダを使用してリクエストを処理する^[2]。攻撃は、リクエストの最初の部分で長さ0のチャンクを宣言することによって行われる^[5]。フロントエンドサーバはこれを見てリクエストの最初の部分のみを読み取り、意図せず第2の部分をバックエンドサーバに渡してしまう^[5]。バックエンドサーバに渡された第2の部分は、次のリクエストとして扱われて処理され、攻撃者の隠されたリクエストが実行される^[5]。

TE.CL

このタイプでは、フロントエンドがTransfer-Encodingヘッダを使用してリクエストを処理し、バックエンドがContent-Lengthヘッダを使用して処理する^[2]。この攻撃では、攻撃者は悪意のあるリクエストを含む最初のチャンクの有効な長さを宣言し、その後に長さ0の第2のチャンクを宣言する^[5]。フロントエンドサーバは長さ0の第2のチャンクを見ると、リクエストが完了したと判断してバックエンドサーバに転送する^[5]。しかし、バックエンドサーバはContent-Lengthヘッダを使用して処理するため、最初のチャンクに残された悪意のあるリクエストは、次の一連のリクエストの開始点として扱われるまで未処理のまま残り、その後に実行される^[2]。

TE.TE

このタイプでは、フロントエンドとバックエンドの両方がTransfer-Encodingヘッダを使用してリクエストを処理するが、一報のサーバのみがヘッダを無視するように、非標準の空白形式や重複ヘッダなどを用いてヘッダを難読化する^[2]。難読化の手法としては、「Transfer-Encoding: xchunked」のように不正な文字を追加したり、「Transfer-Encoding」と「: chunked」の間に異常な改行文字を入れたりする形がある^[5]。フロントエンドまたはバックエンドのいずれかのサーバが依然としてこれらの難読化されたリクエストを処理する場合、攻撃の残りの部分はCL.TEまたはTE.CL攻撃と同様の仕組みとなる^[5]。

対策

最も確実な対策は、フロントエンドとバックエンドのサーバがHTTPリクエストを全く同じ方法で解釈することである。しかし、ロードバランサは異なるソフトウェアやプラットフォームで動作するバックエンドサーバをサポートしているため、これは通常、選択肢にはならない^[5]。この攻撃のほとんどの変種は、リクエストの長さを決定するために異なる手法を用いるHTTP/2を使用することで防ぐことができる。別の回避策としては、フロントエンドサーバがバックエンドに渡す前にHTTPリクエストを正規化し、確実に同じ解釈がなされるようにすることである^[2]。Webアプリケーションファイアウォール（WAF）の設定も有効であり、多くのWAFは攻撃の試みを特定し、疑わしいリクエストをブロックまたはサニタイズする技術を備えている^[5]。

Grenfeldtら（2021年）の研究によれば、ほとんどのフロントエンドWebサーバ（プロキシサーバなど）は、バックエンドサーバに対する既知のHRS攻撃を実際に阻止するためのパース機能を提供していることがわかった^[6]。Huangら（2022年）は、Flaskを使用して適切なパース機能を実装し、フロントエンドプログラムやWebサーバからのHRS攻撃を防ぐ手法を提案した^[7]。

脚注

[脚注の使い方]

^ “CWE - CWE-444: Inconsistent Interpretation of HTTP Requests ('HTTP Request Smuggling') (4.0)”. cwe.mitre.org. 2026年2月25日閲覧。
^ ^a ^b ^c ^d ^e ^f “What is HTTP request smuggling? Tutorial & Examples”. portswigger.net. 2026年2月25日閲覧。
^ ^a ^b “Transfer-Encoding”. developer.mozilla.org. 2026年2月25日閲覧。
^ “Content-Length”. developer.mozilla.org. 2026年2月25日閲覧。
^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j “HTTP Request Smuggling”. imperva.com. 2026年2月25日閲覧。
^ Attacking websites using HTTP request smuggling: empirical testing of servers and proxies. 2021 IEEE 25th international enterprise distributed object computing conference (EDOC). Australia: IEEE. 2021. pp. 173–181. doi:10.1109/EDOC52215.2021.00028. {{cite conference}}: |access-date=を指定する場合、|url=も指定してください。 (説明)
^ Huang Q; Chiu M; Chen Y; Sun H (2022). “Attacking websites: detecting and preventing HTTP request smuggling attacks”. Security and Communication Networks 2022: 1–14. doi:10.1155/2022/3121177.

[cwe444-1] “CWE - CWE-444: Inconsistent Interpretation of HTTP Requests ('HTTP Request Smuggling') (4.0)”. cwe.mitre.org. 2026年2月25日閲覧。

[portswigger1-2] ^ ^a ^b ^c ^d ^e ^f “What is HTTP request smuggling? Tutorial & Examples”. portswigger.net. 2026年2月25日閲覧。

[mozillatransfer-3] “Transfer-Encoding”. developer.mozilla.org. 2026年2月25日閲覧。

[mozillacontentlength-4] “Content-Length”. developer.mozilla.org. 2026年2月25日閲覧。

[imperva-5] ^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j “HTTP Request Smuggling”. imperva.com. 2026年2月25日閲覧。

[Grenfeldt_et_al._(2021)-6] Attacking websites using HTTP request smuggling: empirical testing of servers and proxies. 2021 IEEE 25th international enterprise distributed object computing conference (EDOC). Australia: IEEE. 2021. pp. 173–181. doi:10.1109/EDOC52215.2021.00028. {{cite conference}}: |access-date=を指定する場合、|url=も指定してください。 (説明)

[Huang_et_al._(2022)-7] Huang Q; Chiu M; Chen Y; Sun H (2022). “Attacking websites: detecting and preventing HTTP request smuggling attacks”. Security and Communication Networks 2022: 1–14. doi:10.1155/2022/3121177.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

表話編歴脆弱性、攻撃手法、エクスプロイトと対策
インジェクション (CWE-74)・入力検証不備	不適切な入力確認 (CWE-20) OSコマンドインジェクション (CWE-78) クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) LDAPインジェクション (CWE-90) コードインジェクション (CWE-94) HTTPパラメータ汚染 (CWE-235) HTTPヘッダ・インジェクション (CWE-113) HTTPリクエストスマグリング (CWE-444) HTTPレスポンス分割 (CWE-113) 書式文字列攻撃 (CWE-134) XML外部実体攻撃 (XXE) (CWE-611) Insecure Deserialization（英語版）(CWE-502) DLLサイドローディングファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）プロンプトインジェクション
Web・ブラウザ・クライアント関連	ディレクトリトラバーサル (CWE-22) クロスサイトリクエストフォージェリ (CSRF) (CWE-352) Webキャッシュポイゾニング (CWE-444) サーバサイド・リクエストフォージェリ (SSRF) (CWE-918) IDNホモグラフ攻撃 (CWE-1007) クリックジャッキング (CWE-1021) クロスサイトトレーシング (XST) DNSリバインディングクロスサイト・クッキングリファラスプーフィング（英語版） (CWE-601) クロスゾーンスクリプティング（英語版）
認証・セッション・なりすまし	セッションハイジャック (CWE-287) IPスプーフィング (CWE-290) クレデンシャル・スタッフィング (CWE-307) DNSスプーフィング (CWE-345) セッションフィクセーション (CWE-384) パス・ザ・ハッシュ攻撃 (CWE-522) ファーミング (CAPEC-89) フィッシング (詐欺) (CAPEC-98) リプレイ攻撃中間者攻撃 (MITM) ARPスプーフィング MITB攻撃悪魔の双子攻撃セッションポイズニング Kerberoasting クッキーモンスター攻撃（英語版）クッキースタッフィング（英語版） in-sessionフィッシング（英語版） Eメールスプーフィング（英語版） MOTS攻撃（英語版）
システム・メモリ・並行処理	バッファオーバーフロー (CWE-119) 整数オーバーフロー (CWE-190) スタックバッファオーバーフロー（英語版） Off-by-oneエラー (CWE-193) Return-to-libc攻撃競合状態 (Race Condition) (CWE-362) Time-of-check to time-of-use (TOCTOU) (CWE-367) TCPシーケンス番号予測攻撃 JITスプレー Spectre Use After Free（英語版）ダングリングポインタ（英語版）
暗号・サイドチャネル・ハードウェア	サイドチャネル攻撃 (CWE-203) 平文保存(CWE-312) 危殆化 (CWE-327) POODLE(CWE-757) KRACK(CWE-757) レインボーテーブル攻撃誕生日攻撃 Meltdown CRIME Intel ME（英語版） Lazy FP state restore（英語版） TLBleed（英語版）スナーフィング（英語版）コールドブート攻撃（英語版）
可用性侵害 (DoS攻撃)	DoS攻撃 (CWE-400) ICMP echoフラッド Smurf攻撃 SYN flood UDPフラッド攻撃 HTTP Flood スローロリス_(DOS攻撃ツール) ZIP爆弾 (CWE-409) Billion laughs攻撃 (XML爆弾) (CWE-776) メールボムランサムウェアクリアチャネル評価攻撃（英語版）
サイバーセキュリティ・対策技術	ファイアウォール(FW) 次世代ファイアウォール(NGFW) Web Application Firewall (WAF) 侵入検知システム (IDS) 侵入防止システム (IPS) ハニーポットペネトレーションテスト Static Application Security Testing(SAST) Dynamic Application Security Testing(DAST) Interactive Application Security Testing(IAST) Endpoint Detection and Response (EDR) Endpoint Protection Platform（EPP） Network detection and response（英語版）(NDR) User and Entity Behavior Analytics（UEBA）セキュアアクセスサービスエッジ（SASE） Security information and event management (SIEM) Security Orchestration, Automation and Response (SOAR) Cloud access security broker (CASB) FIDO (認証技術) 多要素認証 (MFA) Privileged access management (PAM) Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Outbound Port 25 Blocking（OP25B） Sender Policy Framework (SPF) DKIM DMARC Wi-Fi Protected Access アドレス空間配置のランダム化 (ASLR) イミュータブルバックアップコンテンツスニッフィングサイバーレジリエンスセキュリティ・バイ・デザイン (SBD) ソフトウェア・サプライチェーンゼロトラスト・セキュリティモデルセキュリティオペレーションセンター CSIRT PSIRT
関連用語	MITRE ATT&CK APT攻撃ゼロデイ攻撃サイバーキルチェーンクラッキングシェルコードソーシャル・エンジニアリングセキュリティホールダークウェブデジタル・フォレンジックブラウザクラッシャーボットネットマルウェア Metasploit
セキュリティ関係団体・法律	サイバーセキュリティ基本法サイバー警察局独立行政法人情報処理推進機構（IPA）内閣サイバーセキュリティセンター（NISC）情報通信研究機構（NICT）アメリカ国立標準技術研究所（NIST）欧州ネットワーク・情報セキュリティ機関（ENISA）日本情報経済社会推進協会（JIPDEC) CRYPTREC 共通脆弱性識別子（CVE） OWASP JPCERTコーディネーションセンター (JPCERT/CC) Japan Vulnerability Notes (JVN) 脆弱性情報データベース脆弱性報奨金制度

HTTPリクエストスマグリングとは？わかりやすく解説