サイバーニュース.jp

世界のサイバーなニュースを配信

新たなレポートが「React2Shell」エクスプロイトに対するWAFの無力さを明らかに

カテゴリ:

React2Shellの脅威とWAFの限界

Miggo Securityが発表した包括的なベンチマーク調査により、Webアプリケーションファイアウォール(WAF)の保護における重大なギャップが明らかになりました。特に、React2Shell(CVE-2025-55182)の発見は、これらの脆弱性を如実に示す実例となっています。「Beat the Bypass: A Benchmark Study of WAF Weaknesses and AI Mitigation」と題されたこの調査は、従来のWAFアプローチが、現代のAIを悪用した脅威に対して根本的に不十分であることを示しています。

調査では、主要WAFベンダーを対象とした360以上のCVE(共通脆弱性識別子)が分析され、驚くべき実態が浮き彫りになりました。それは、最適な条件下であっても、エクスプロイトの52%がデフォルトのWAFルールを迂回するというものです。この結果は、WAF単独で企業を重大な脆弱性から守れるという従来の認識に疑問を投げかけるものです。

現代のセキュリティチームにとって、WAFは必要不可欠なインフラであり続けるものの、大幅な強化なしには、重大なCVEや新たなAI駆動型脅威に対する信頼できる緩和策としては機能しないことが、調査によって示唆されています。React2Shellは、まさに「露出期間(exposure window)」の問題を象徴しています。このCVSS 10.0の脆弱性は、Flightプロトコル内の複雑な逆シリアル化ロジックを悪用するもので、標準的なWAFシグネチャでは脅威がほとんど検出されない領域を突いています。

WAFの脆弱性と「41日間のギャップ」

エクスプロイトコードが公開されてからわずか数時間で利用可能になる一方で、従来のWAFベンダーがCVE固有のルール更新を開発・リリースするまでには、平均して41日もの期間を要していました。この「41日間のギャップ」こそが、組織に損害が発生する現代の「露出期間」を表しています。

WAFの不備による経済的影響は甚大です。Miggoの調査では、中規模企業がWAFの運用上の不備(露出期間のリスク、不必要な修正コスト、誤検知の影響を含む)により、年間約600万ドルの潜在的損失に直面していると推定されています。

AIによるWAF強化が解決策に

しかし、この調査は有望な解決策も提示しています。それは、AIを活用したWAF保護です。汎用的な攻撃パターンではなく、特定の脆弱性やアプリケーションのコンテキストに合わせてAIがルールを調整することで、これまでに迂回されていた脆弱性に対する保護率が劇的に向上し、91%以上に達することが判明しました。これは、WAFアーキテクチャが、受動的で手動によるシグネチャ生成から、ランタイムインテリジェンスを活用した能動的でエクスプロイトを認識するルール作成へと根本的に移行することを意味します。

専門家の見解

Miggo SecurityのCEO兼共同創設者であるダニエル・シェクター氏は、課題の核心を次のように述べています。「WAFは必要不可欠ですが、AIを駆使したゼロデイ攻撃の競争に単独で勝利することはできません。React2Shellの脆弱性は、古いモデルが機能しない理由の典型的な例です。この41日間のギャップを埋める唯一の方法は、遅く汎用的なシグネチャから、高速でエクスプロイトを認識するランタイムインテリジェンスによって生成されるルールへと移行することです。」

業界のベテランもこれらの調査結果を裏付けています。Akamaiの元最高セキュリティ責任者であるアンディ・エリス氏は、未開拓の可能性を強調し、「ランタイムの強化は、WAFを、単なる場当たり的な修正ではなく、すべての重要なCVEに対する信頼性の高い高信頼性防御層へと変革するための必要なインテリジェンスと自動化を提供する」と述べています。

元Imperva CMOであり、RASPのパイオニアであるPrevotyの共同創設者であるジュリアン・ベランジェ氏は、「脆弱性は、手動プロセスが対処できるよりも速く武器化されるという不快な真実をデータは裏付けています。脆弱性が公になった瞬間、AI攻撃者が従来の防御を凌駕する軍拡競争が始まります。WAFをよりスマートで自動化されたものにすることが不可欠です」と、その重要性を再確認しました。

Miggo SecurityのADRソリューションと今後の課題

Miggo Securityのアプリケーション検知・対応(ADR)ソリューションは、AIを活用したランタイム防御を提供することで、これらのギャップに対処します。これにより、組織は露出期間を最大99%短縮し、運用オーバーヘッドを30%以上削減できます。同社は、AIセキュリティ分野でGartner Cool Vendor 2025として評価され、Frost & SullivanのProduct Innovation Award 2025も受賞しています。

React2Shellの発見は、伝統的なセキュリティインフラが現代の脅威に対応するために進化しなければ、組織は損失を増やし、脆弱性の露出期間を延長するという不快な現実を浮き彫りにしています。

元記事: https://gbhackers.com/react2shell-exploit/

投稿をさらに読み込む