React 19系および Next.js App Router を採用している環境に、深刻度 CVSS 10.0 のリモートコード実行(RCE)脆弱性「CVE-2025-55182」が報告されています。この脆弱性は、認証なしで任意の JavaScript コードを実行される重大な問題であり、React Server Components(RSC)を利用するアプリケーションに影響します。
すでに「React2Shell」の通称で攻撃ツールが出回っており、Next.js 15・16 の既定設定でも攻撃対象になり得ることから、多くの組織が自覚のないままリスクを抱えている状況です。
出典:NVD
本記事では、CVE-2025-55182の技術的な概要と影響範囲、攻撃の手口、公開されたPoCと悪用事例、そして実際の被害と対策までを体系的に解説します。
目次
CVE-2025-55182の概要
CVE-2025-55182は、React Server Components(RSC)の通信プロトコル「Flight」の実装不備により発生する、認証不要のリモートコード実行(RCE)脆弱性です。CVSSスコアは10.0(最大)で、極めて深刻なセキュリティリスクに位置付けられています。
脆弱性の原因は、Flightプロトコルが受信するチャンクの復元処理(reviveModel)において、信頼されていない入力への検証が不十分な点にあります。攻撃者は細工されたHTTPリクエストを送信することで、Node.js環境において任意のJavaScriptコードを実行できる状況を作り出します。
この問題は、2025年12月3日にMetaとセキュリティ研究者から詳細が公開され、その後 CVE-2025-55182 として正式登録されました。研究者の間では「React2Shell」の通称でも知られ、実際に悪用可能な攻撃ツールやPoC(概念実証コード)が出回っていることから、すでに実害が発生していると考えられています。
日本国内でも、JPCERT/CCや大手CSIRT、セキュリティベンダーから被害報告が相次いでおり、改ざん・情報窃取・暗号資産マイナーの展開・バックドア設置といった被害が複数確認されています。
影響する対象環境
以下のような環境では、CVE-2025-55182の影響を受ける可能性が高く、特にインターネット公開されているサーバは、既にスキャン・侵入の対象になっている前提での対応が推奨されます。
- React 19.0 / 19.1.x / 19.2.0 など、脆弱バージョンの
react-server-dom-*パッケージを使用している環境 - Next.js 15 / 16(App Router構成)
- RSCに対応した react-router / Expo / Redwood などの各種フレームワーク
- 独自にFlightプロトコルを実装・取り込んでいる BFF(Backend For Frontend)
重要なのは、Server Functionを明示的に使用していなくても、RSCが有効であるだけで攻撃対象になり得る点です。RSCを有効にした状態でインターネットに公開しているだけで、外部から直接スキャン・侵害されるリスクがあります。
出典:NVD
公開されたPoCと悪用状況
React2Shell(CVE-2025-55182)を悪用する攻撃は、複数のProof of Concept(PoC)が公開されたことを起点に急速に拡大しました。公開PoCには実行可能なコードが含まれており、これらをベースにしたスキャンやマルウェア配布が、国内外で広く観測されています。
PoCの公開状況と自動化ツール
初期段階では、脆弱性の仕組みを説明するための限定的なコマンド実行PoCが研究者により公開されました。その後、GitHub上では react2shell-CVE-2025-55182-full-rce-script など、フルRCEが可能な自動化スクリプトや、Python製の攻撃ツールが相次いで公開されています。
これらのPoCには、RSC/Flightエンドポイントを自動検出し、悪用用ペイロードを生成・送信するロジックが含まれており、技術的な知識が浅い攻撃者でも悪用可能な状態が作られました。
PoCから実攻撃への急速な展開
GreyNoiseや各社脅威インテリジェンスの報告によると、PoC公開から数時間〜数日以内に、同様のペイロード構造を持つスキャンおよび攻撃トラフィックが世界規模で観測され始めました。
"status":"resolved_model"や$@"node:fs"といったPoC由来の特徴的な文字列- JSON形式のFlightチャンク構造を悪用したコマンド実行チェーン
これらはPoCのコード構造をほぼそのまま流用したものであり、公開PoCが即座に実戦投入されていることを示しています。
現在の悪用傾向(スキャン型・標的型)
観測されている攻撃は、大きく次の2種類に分けられます。
- 広範なスキャン型攻撃:ボットネットや犯罪グループがインターネット全体を対象にRSC/Next.js特有の挙動を検出し、PoCベースのワンライナーでマイナーやWebShellを設置
- クラウド資産を狙った標的型攻撃:中国関連の脅威グループなどが、AWS・GCP上の資産情報をもとにReact/Next.jsサービスを特定し、初期侵入にReact2Shellを利用
後者では、侵入後の長期滞在や横展開を前提とした行動が多く確認されています。
国内で確認されている具体的な被害内容
CVE-2025-55182の悪用は、日本国内でもすでに実被害フェーズに入っています。特に以下のような侵害が複数の調査機関・ベンダーから報告されています。
- WebShellやZnDoorによる持続的侵入:RSC/Flight経由でNode.js上に常駐型バックドアを設置し、長期間にわたり外部から操作
- 暗号資産マイナー・情報窃取スクリプトの展開:
curl/wgetを用いてシェルスクリプトを取得し、APIキーや認証情報を窃取 - ラテラルムーブメント:取得したSSHキーや認証情報を用いて、隣接する開発環境・管理サーバへ横断的に侵害
- C2通信と長期滞在:EtherRATなどのNode.jsベースRATを展開し、C2サーバと通信を確立
また、単純な id / whoami 実行で脆弱性の有無を確認し、成功したホストにのみ追加ペイロードを投入する「二段構え」型のスキャンも、PoCを拡張した形で多数観測されています。
CVE-2025-55182(React2Shell)への対処法
CVE-2025-55182(通称 React2Shell)への本質的な対処は、「パッチ適用と過去ログの確認」に加え、「一時的な防御策(WAFなど)」を組み合わせて実施することです。すでに国内外で実被害が確認されており、「今後の攻撃を防ぐ」だけでなく、「すでに侵害されていないか確認する視点」が欠かせません。
優先して取り組むべき初動対応の流れ
攻撃リスクが非常に高いため、まずは次の対応を優先して実施してください。
- インターネット公開されている React / Next.js サービスの洗い出し
- 対象サービスが使用しているバージョンを特定し、脆弱性の有無を確認
- 2025年11月末以降のログを確認し、攻撃の兆候を調査
- アップデートが困難な箇所には WAF 等で一時的な防御策を適用
特に危険なのは、すでに侵入された状態で「パッチだけを当てて終わり」にしてしまうことです。侵害された痕跡が残ったままの状態で運用を再開すると、バックドアなどにより被害が継続する可能性があります。
React / Next.js のパッチ適用
対象バージョンを使用している場合は、以下の安全なバージョンに更新してください。
- React 19.x(RSC / Server Functions 使用)
→ 19.0.1 / 19.1.2 / 19.2.1 以降 - Next.js(App Router 使用)
→ 15.x / 16.x のパッチ適用版(Canary 版を含む)
加えて、react-server-dom-webpack や react-server-dom-turbopack など、RSC関連の依存パッケージも忘れずに更新しましょう。
package-lock.jsonやyarn.lockを削除・再生成して依存関係を最新化- DockerイメージやCI/CDのキャッシュをクリアして再ビルド
- 再デプロイ後、RSCエンドポイントが意図せず公開されていないかを確認
一時的な緩和策(WAF等)による防御
パッチがすぐに適用できない場合は、以下のような一時的な対策を講じましょう。
- WAFルール:POSTリクエストかつ
next-action/rsc-action-idを含むヘッダの検出・遮断 - Body内に
"status":"resolved_model"や$@を含むペイロードのブロック - RSCエンドポイントを社内IPやVPNからのアクセスのみに制限
たとえば AWS WAF では、AWSManagedRulesKnownBadInputsRuleSet(v1.24以降)に対応ルールが含まれており、Cloud Armor(GCP)でも専用ルールの有効化が推奨されています。
すでに侵害されていないかの確認(ログ・IOC)
「これから守る」だけでなく、「すでにやられていないか」を確認することが不可欠です。
確認すべきログのポイント
- 不審な POST リクエスト(Header:
next-actionやrsc-action-id) bash -c/curl/wgetなどのコマンド痕跡- 夜間・休日などの通常と異なる時間帯のアクセス
サーバ内部のIOC例
- ZnDoor / EtherRAT / KSwapDoor などのマルウェア実行ファイル
- 意図しない
systemdサービスやcronジョブの登録 - 外部C2サーバーとの継続的な通信
構成レベルでの中長期的な再発防止策
今回のように、「新しいフレームワーク機能がそのまま攻撃面になる」リスクは、今後も繰り返される可能性があります。
再発防止のためには、次のような構成レベルでの見直しが重要です。
- RSC / Server Functions のインターネット露出を必要最小限に制限
- SBOMや資産管理ツールで、React / Next.js関連の構成を正確に可視化
- EDR / IDS による「RSC特有の攻撃パターン」の検知ルールを導入
CVE-2025-55182は、対処が遅れると深刻な被害につながりかねない危険な脆弱性です。システムを安全に保つためには、現時点での影響有無を確認するための脆弱性診断を実施し、想定外のリスクを早期に可視化することが不可欠です。
脆弱性診断は専門業者へ依頼する
サイバー攻撃、不正アクセス、マルウェア感染のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。
>情報漏えい時の個人情報保護委員会への報告義務とは?詳しく解説
当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数47,431件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積47,431件以上(※1)のご相談実績があります。また、警察・捜査機関から累計409件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、17年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2023年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
まとめ
CVE-2025-55182は、設定によっては「RSCを使っているだけ」で攻撃対象となり得る、非常に危険な脆弱性です。ReactやNext.jsを採用している場合、まずは利用バージョンとRSCの有効化状況を確認し、速やかにパッチを適用することが重要です。
あわせて、過去のアクセスログやサーバの状態を確認し、不審な通信やマルウェアの痕跡が残っていないかをチェックしてください。既に国内でもZnDoorやEtherRATなどによる実害が報告されており、もはや「自分の環境は大丈夫」とは言えない状況です。
少しでも不安がある場合は、フォレンジックや脆弱性診断を専門とする調査会社に相談し、被害の有無と根本原因を明らかにすることが、安全性回復への第一歩となります。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
