「React2Shell」の深刻な脆弱性が明らかに
2025年12月6日、重大なリモートコード実行(RCE)の脆弱性「React2Shell」(CVE-2025-55182)が活発に悪用されていることが報じられました。この脆弱性は、すでに30以上の組織を侵害し、インターネットに公開されている7万7千以上のIPアドレスに影響を及ぼしています。
この脆弱性は、React Server Componentsを実装する全てのフレームワーク、特にNext.jsに影響を与えます。Reactが12月3日に明らかにしたところによると、クライアントが制御するデータの安全でないデシリアライゼーションが、攻撃者によるリモートでの認証不要なコマンド実行を可能にします。開発者には、Reactを最新バージョンにアップデートし、アプリケーションを再構築して再デプロイすることが強く推奨されています。
セキュリティ研究者Maple3142は12月4日に、パッチが適用されていないサーバーに対するリモートコマンド実行の実証コード(PoC)を公開。これを受け、攻撃者および研究者による脆弱性のスキャンが急増しています。
7万7千以上のIPアドレスが危険に晒される
インターネット監視団体Shadowserverは、77,664のIPアドレスがReact2Shellの脆弱性に対して脆弱であると報告しています。このうち、約23,700が米国に集中しています。脆弱なIPアドレスの地理的分布は、米国、ドイツ、中国、フランスなどで高い割合を示しています。
Searchlight Cyber/Assetnoteが開発した検出技術により、特定のHTTPリクエストで脆弱性を確認できるため、広範囲にわたるスキャンが可能になっています。
GreyNoiseの記録では、過去24時間で181の異なるIPアドレスがこの脆弱性を悪用しようと試みており、その大半が自動化された攻撃であるとされています。スキャンは主にオランダ、中国、米国、香港などから発信されています。
広範な悪用と中国関連APTグループの関与
Palo Alto Networksの報告によると、すでに30以上の組織がReact2Shellの脆弱性を通じて侵害されています。攻撃者は脆弱性を悪用してコマンドを実行し、偵察活動を行い、AWSの設定ファイルや認証情報を窃取しようとしています。これらの侵害には、中国に関連する国家支援型攻撃グループが関与している事例も確認されています。
GreyNoiseは、攻撃者がまずPowerShellコマンドで簡単な数学関数を実行し、リモートコード実行が可能であることを確認する手法を頻繁に利用していると報告しています。これにより、最小限の痕跡で脆弱性をテストしています。例:powershell -c "40138*41979"
リモートコード実行が確認されると、攻撃者はBase64エンコードされたPowerShellコマンドを実行し、追加のスクリプトを直接メモリにダウンロードします。ある事例では、外部サイトからセカンドステージのPowerShellスクリプトをダウンロードし、AMSIを無効にしてエンドポイントセキュリティを回避し、追加のペイロードを展開していました。VirusTotalによると、このPowerShellスクリプトはターゲットデバイスにCobalt Strikeビーコンをインストールし、攻撃者にネットワークへの足がかりを与えています。
Amazon AWSの脅威インテリジェンスチームも、Reactの脆弱性公開後数時間で、中国関連のAPTハッキンググループ「Earth Lamia」および「Jackpot Panda」に関連するインフラからの悪用を観測しています。これらの攻撃では、whoamiやidといったコマンドを使用して脆弱なサーバーの偵察を行い、ファイルの書き込みや/etc/passwdの読み取りを試みていました。
Palo Alto Networksも同様の悪用を観測しており、一部は中国国家安全部と関連があるとされる中国の国家支援型脅威アクター「UNC5174(CL-STA-1015)」によるものとされています。UNC5174は、以下のマルウェアを展開していることが確認されています。
- Snowlight:リモート攻撃者が侵害されたデバイスに追加のペイロードを投下することを可能にするマルウェアドロッパー。
- Vshell:中国のハッキンググループがリモートアクセス、侵害後の活動、およびネットワーク内での横移動によく使用するバックドア。
緊急のパッチ適用が求められる
Reactの脆弱性の深刻さから、世界中の企業がパッチのインストールと緩和策の適用に急いでいます。Cloudflareは、この脆弱性の広範な悪用と深刻度を受けて、緊急の検出および緩和策をWeb Application Firewall(WAF)に導入しましたが、これにより一時的に多数のウェブサイトに障害が発生しました。
CISAは、CVE-2025-55182を既知の悪用された脆弱性(KEV)カタログに追加し、連邦機関に対して2025年12月26日までにパッチを適用するよう義務付けています。
React Server Componentsやそれらを基盤とするフレームワークを使用している組織は、直ちにアップデートを適用し、アプリケーションを再構築して再デプロイし、PowerShellやシェルコマンド実行の兆候がないかログをレビューすることが強く推奨されます。