「React2Shell」RCE脆弱性の緊急警告
React Server Componentsに存在する重大なリモートコード実行(RCE)の脆弱性が、現在活発に悪用されていることが判明しました。セキュリティ研究者らは、インターネット上で広範な自動攻撃を観測しており、この脆弱性は「React2Shell」と名付けられ、CVE-2025-55182として追跡されています。React本体および、人気のあるNext.jsフレームワークを含む関連エコシステムに影響を及ぼすため、即座のパッチ適用が緊急に求められています。
脆弱性の詳細:CVE-2025-55182
この脆弱性は、React Server Componentsの「Flight」プロトコルにおける安全でないデシリアライゼーションに起因します。GreyNoiseのセキュリティ研究者は、新たに開示されたこの脆弱性に対する日和見的な悪用試行を検出しました。この最大深刻度の問題は、脆弱な展開環境において、認証されていないリモートコード実行を可能にします。これにより、攻撃者は認証情報なしに影響を受けるシステム上で悪意のあるコードを実行できてしまいます。
- CVE ID: CVE-2025-55182
- 脆弱性: React Server Components Unsafe Deserialization RCE
- CVSS スコア: 10.0 (Critical)
- 深刻度: Critical
- 影響を受ける製品: React Server Components, Next.js
攻撃の現状と手法
セキュリティテレメトリーによると、今回の攻撃は現代的な攻撃パターンに合致しており、脅威アクターは新しいインフラと従来のインフラを組み合わせてキャンペーンを展開しています。HTTPクライアントとTCPスタックのフィンガープリントは、有機的なブラウジング行動ではなく、圧倒的に自動化された特性を示しています。
この脆弱性はすでにMiraiやその他のボットネットの悪用キットに組み込まれており、迅速な武器化が進んでいることを示唆しています。初期の悪用試行では、公開されている概念実証(PoC)コードが基盤として使用されています。攻撃者はまず、PowerShellの算術コマンドを用いたコード実行確認プローブを使用して、リモートコード実行の能力を検証します。これらの「安価な計算」による検証技術は、最小限のエンドポイント痕跡しか残さずに、悪用の成功を確認します。
検証に成功した後、攻撃者はエンコードされたPowerShellステージャを展開し、セカンダリペイロードをダウンロードして実行します。このステージ2のペイロードは、System.Management.Automation.AmsiUtils.amsiInitFailedをtrueに設定することでWindowsのセキュリティ制御をバイパスするリフレクション技術を使用し、アンチマルウェアスキャンインターフェースを実質的に無効にします。この洗練された多段階アプローチは、現在の悪用キャンペーンの成熟度を示しています。
トラフィック分析からは、オランダ、中国、米国、香港、その他数カ国に関連する高度に集中した自律システム番号から悪用試行が発信されていることが分かっています。
主な兆候:
- 観測された悪用IPアドレスのほぼ50%が2025年12月に初めて観測されており、現代の日和見的悪用キャンペーンに典型的な、インフラの迅速なローテーションを示しています。
- 特定された上位のユーザーエージェントには、Go-http-client、Assetnoteスキャナーマーカー、および様々なブラウザ文字列が含まれており、これらの攻撃が自動化されていることを裏付けています。
セキュリティ研究者は、攻撃手法自体は新規ではないものの、その高いスループットの悪用が、認証情報の盗難、クリプトマイニング、ランサムウェアのステージング、およびアクセスブローカー活動にとって深刻なリスクをもたらすと強調しています。
組織に求められる対策
組織は、利用可能なパッチを直ちに適用し、高品質なエンドポイント検出を実装し、潜在的に悪意のあるインバウンドトラフィックを隔離するためにネットワークフィンガープリントを活用することが強く推奨されます。防御側は、このキャンペーンに関連する悪意のあるIPアドレスをブロックするために、脅威インテリジェンスプラットフォームを活用できます。一方で、この悪用ウェーブは進化を続けています。