概要:React2Shell脆弱性とは
2025年12月3日に開示されたReactおよびNext.jsに影響を与える重大な脆弱性「React2Shell」(CVE-2025-55182)が、公表からわずか数時間で、中国と関連する脅威アクターによって活発に悪用され始めています。この脆弱性は、React Server Components(RSC)の「Flight」プロトコルにおける安全でないデシリアライゼーションの欠陥であり、認証を必要とせずにサーバーのコンテキストでJavaScriptコードのリモート実行を可能にします。Next.jsフレームワークにはCVE-2025-66478という識別子も割り当てられましたが、これはCVE-2025-55182の重複としてNVD(National Vulnerability Database)から却下されています。
本脆弱性は悪用が容易であり、すでに複数の概念実証(PoC)エクスプロイトが公開されているため、関連する脅威活動のリスクが高まっています。セキュリティ研究機関Wizによると、観測可能なクラウド環境の39%がReact2Shell攻撃に対して脆弱であると報告されており、広く利用されているライブラリの複数のバージョンに影響が及ぶ可能性があります。ReactとNext.jsはすでにセキュリティアップデートをリリースしていますが、認証なしでデフォルト構成でも簡単に悪用できるため、早急な対策が求められます。
早期からの活発な悪用を確認
Amazon Web Services(AWS)のレポートによると、脆弱性の公開から数時間以内に、中国国家と関連する複数の脅威グループ、特に「Earth Lamia」と「Jackpot Panda」がReact2Shellの悪用を開始したことが確認されました。AWSのハニーポットでも、既知のクラスターには属さないものの、中国を拠点とするインフラからの活動が観測されています。多くの攻撃クラスターが同じ匿名化インフラを共有しているため、個別の追跡と特定の帰属の特定は困難を伴います。
攻撃グループの戦術と対象
観測された攻撃活動には、公開されているエクスプロイト(一部破損したものも含む)と、標的環境に対する反復的な手動テストおよびリアルタイムのトラブルシューティングが組み合わされています。具体的には、異なるペイロードでの試行、whoamiやidなどのLinuxコマンド実行、/tmp/pwned.txtファイルの作成試行、/etc/passwd/ファイルの読み取り試行などが含まれます。AWSの研究者は、「この行動は、脅威アクターが自動スキャンを実行しているだけでなく、ライブの標的に対して悪用技術を積極的にデバッグし、洗練させていることを示している」とコメントしています。
- Earth Lamia:主にWebアプリケーションの脆弱性を悪用することに焦点を当てており、ラテンアメリカ、中東、東南アジアの金融サービス、物流、小売、IT企業、大学、政府機関などが典型的な標的です。
- Jackpot Panda:主に東アジアおよび東南アジアに標的を絞り、腐敗や国内の安全保障に関する情報収集を目的とした攻撃を行っています。
概念実証(PoC)と対策ツール
React2Shellを発見し報告した研究者Lachlan Davidson氏は、オンラインに流通している偽のエクスプロイトについて警告しています。しかし、Rapid7の研究者Stephen Fewer氏やElastic SecurityのJoe Desimone氏によって有効性が確認されたPoCもGitHub上で公開されています。また、攻撃対象管理(ASM)プラットフォームであるAssetnoteは、環境がReact2Shellに対して脆弱かどうかを判断するために使用できるReact2ShellスキャナーをGitHubで公開しています。