AI News

エンジニアリング AI生成記事 5分で読めます 12回閲覧

【緊急】React2Shell脆弱性(CVSS 10.0)発覚!Next.js等に直ちにパッチ適用を

Featured image: Generated image

この記事の要約

  • React2Shell脆弱性が発覚
  • CVSSスコア最大値10.0を記録
  • 既に実際の攻撃も観測済み

2025年12月30日、年末のIT業界に激震が走りました。現代のWeb開発においてデファクトスタンダードとも言えるプログラミングライブラリ「React」のサーバー機能において、極めて深刻な脆弱性「React2Shell」が発見されました。この脆弱性は、AI技術の活用などで進化を続ける現代のソフトウェア開発環境において、最も警戒すべき「リモートコード実行(RCE)」を許すものです。特に、人気の高い開発ツールであるNext.jsなどのフレームワークを利用している場合、デフォルト設定のままではサーバーが乗っ取られる危険性があります。本記事では、この緊急性の高いニュースの詳細と対策について解説します。

概要

Section image: Generated image

2025年12月3日、ReactチームはReact Server Components (RSC)における深刻な脆弱性「React2Shell」(CVE-2025-55182)を公開しました。この脆弱性のCVSSスコアは最大値の10.0であり、認証なしでのリモートコード実行(RCE)が可能です。既に「emerald」や「nuts」といったマルウェアによる悪用が観測されており、Next.jsを含む影響を受けるフレームワークへのパッチ適用が急務となっています。

これは、Webサーバーのセキュリティにおいて「扉の鍵が壊れて開きっぱなしになっている」のと同じくらい危険な状態です。攻撃者はパスワードなどを盗む必要すらなく、外部から自由にサーバーを操作できてしまいます。特に多くの開発者が利用する標準的な構成で影響が出るため、対象となるサイトは広範囲に及びます。企業のIT担当者は、休暇中であっても直ちにアップデート作業を行う必要があります。

脆弱性のメカニズム:Flightプロトコルとデシリアライズ

今回発覚した「React2Shell」の技術的な核心は、React Server Components (RSC) が使用する通信プロトコルである「Flight」の処理にあります。プログラミングの観点から見ると、この脆弱性はデータのデシリアライズ(復元)処理における入力値の検証不備に起因しています。

  • 根本原因:Flightプロトコルがクライアントから受け取ったデータをサーバー側で処理する際、その内容が安全かどうかのチェックが不十分でした。
  • 攻撃手法:攻撃者は特殊に細工されたリクエストをサーバーに送信することで、サーバーの内部処理を悪用し、任意のコマンドを実行させることができます。

この脆弱性の恐ろしい点は、攻撃の成功率が極めて高いことにあります。セキュリティ企業のSysdigによる分析では、攻撃成功率はほぼ100%であると報告されています。これは、攻撃者が狙いを定めた場合、対策をしていないサーバーは確実に侵害されることを意味します。高度なITインフラを構築していても、この一点の穴を突かれるだけでシステム全体が掌握されるリスクがあります。

広範囲に及ぶ影響:Next.jsとデフォルト設定の罠

この脆弱性の影響範囲が広い最大の理由は、Reactをベースとした人気のフレームワーク、特にNext.jsが影響を受ける点にあります。Next.jsは現代のWebソフトウェア開発において標準的な選択肢の一つとなっており、多くの企業サイトやWebサービスで採用されています。

  • CVE-2025-66478:Next.jsにおいても、この脆弱性はCVE-2025-66478として追跡されていますが、根本的な原因はReact側のCVE-2025-55182と同じです。
  • デフォルト構成の危険性:特定の複雑な設定をしている場合だけでなく、フレームワークを導入したそのままの「デフォルト構成」のサーバーが脆弱性の対象となります。これにより、初心者から熟練者まで、多くの開発者の環境がリスクに晒されています。

通常、深刻な脆弱性であっても「特定の設定を有効にしている場合のみ」といった条件が付くことがありますが、今回はその条件が非常に緩いため、影響を受けるサーバーの数は膨大です。開発ツールとして信頼していた基盤部分に穴が見つかった形となり、コミュニティ全体で対応に追われています。

進行中の脅威:マルウェアキャンペーンとWAF回避

残念ながら、この脆弱性は理論上のものではありません。既に実際の攻撃活動(In-the-Wild)がセキュリティベンダーによって確認されています。トレンドマイクロなどの調査によると、以下のような具体的な脅威が進行しています。

  • マルウェアキャンペーン:「emerald」や「nuts」と名付けられたマルウェアキャンペーンにおいて、React2Shellの悪用が観測されています。これらは脆弱なサーバーを自動的に探索し、感染を広げようとしています。
  • WAF回避機能:確認されている攻撃コードの中には、Web Application Firewall (WAF) の検知を回避する機能を持つものも存在します。従来の境界防御だけでは防ぎきれない可能性が高く、根本的なパッチ適用以外に確実な防御策はありません。
  • PoCの拡散:概念実証(PoC)コードを巡る混乱も報告されており、攻撃手法が公知のものとなったことで、今後さらに模倣犯が増えることが予想されます。

攻撃者はサーバーに侵入した後、機密情報の窃取、ランサムウェアの展開、あるいはボットネットの一部としてサーバーを悪用するなど、あらゆる悪意ある活動を行う可能性があります。CVSSスコアが最大の10.0と評価されているのは、こうした「認証不要」「リモート実行可能」「影響範囲の広さ」といった最悪の条件が揃っているためです。

まとめ

2025年12月に発覚した「React2Shell」は、ReactおよびNext.jsを使用するすべてのプロジェクトにとって緊急の課題です。

  • CVSS 10.0の脅威:認証なしでサーバーを完全に乗っ取られる最大級のリスクがあります。
  • 攻撃は進行中:既にマルウェアによる悪用が始まっており、猶予はありません。
  • 唯一の対策:WAF等での回避は困難なため、直ちに修正パッチを適用したバージョンへアップデートしてください。

年末年始の時期ではありますが、セキュリティ担当者や開発者は、自社のサービスが影響を受けていないか確認し、必要な対応を最優先で行うことが強く推奨されます。

本記事は生成AIにより複数の公開情報を元に自動生成されています。重要な判断の際は、複数の情報源を参照されることを推奨します。 詳細は免責事項をご確認ください。