お問い合わせ
2025年12月初旬に公開されたReact2Shell(CVE-2025-55182)の脆弱性により、React/Next.jsを利用したWebサービスに対して全世界で大規模な攻撃が進行中です。
JPCERT/CCは国内での被害発生を報告し、AWSは中国系の国家支援型脅威グループによる組織的な悪用を警告。わずか数日の間にPoCの悪用が確認され、企業のNode.js環境が不正操作・情報窃取の被害を受けています。
本記事では、各機関が発表した最新情報・IOC・緊急対応のポイントを整理します。
出典:JPCERT/CC
目次
PoCの公開からわずか数日で国内でも悪用が確認
React Server Componentsに発見されたCVE-2025-55182は、細工されたHTTPリクエストにより認証不要で任意コードを実行可能にする脆弱性です。
JPCERT/CCが12月3日にPoC(概念実証コード)の公開を確認して以降、12月10日には実際の国内被害が確認され、複数のセキュリティベンダーも同様の悪用を報告しています。
影響範囲は広範、Next.jsや関連フレームワークにも波及
影響を受けるのは、react-server-dom-webpackなどのReact Server Components系パッケージ(v19.0〜v19.2.0)。Next.jsでは15.x、16.x、14.3.0-canary.77以降が該当し、標準的にRSCを採用しているため注意が必要です。
すでに被害報告あり、PoC利用のスキャナーにマルウェア混入の懸念も
一部の公開PoCやスキャナーには悪意あるコードが混入しており、信頼できないリポジトリの使用によりマルウェア感染した例もあります。JPCERT/CCはスキャナー実行前に提供元の確認を行うよう呼びかけています。
出典:JPCERT/CC
ラックが監視強化、1時間あたり3000件超の通信を観測
セキュリティ企業ラックも、SOCで1時間あたり3000件を超える不審通信を検知。ポーランド発の通信が多く、wgetやcurlを使用したファイルダウンロード試行など、ボット感染を狙う挙動が目立っています。
AWSが警告、中国関連の国家支援型脅威アクターが活発に悪用
AWSは、Earth LamiaやJackpot Pandaといった国家支援型の中国系脅威アクターが、React2Shellの悪用を迅速に開始していると報告しました。MadPotハニーポット基盤での観測では、複数のIPアドレスからの侵害試行が確認されています。
- Linuxコマンドの実行(whoami、id)
- /tmp/pwned.txtへのファイル書き込み
- /etc/passwdの読み取り
これらの行為は単なるスキャンではなく、実際に侵害を目的とした攻撃であることを示しています。
IoC公開相次ぐ、不審な通信や挙動の確認を
JPCERT/CC、AWS、Wiz、LAC、Palo Alto Networksなどが公開した指標では、以下の通信や挙動が確認ポイントとされています。
- next-action / rsc-action-id を含むPOSTリクエスト
- $@ や “status”:”resolved_model” を含むリクエストボディ
- Node.jsプロセスによる予期しない新規プロセス生成
- /etc/passwd の読み取り、/tmp ディレクトリへのファイル作成
出典:JPCERT/CC
ReactやNext.jsの最新版への更新は喫緊の課題です。あわせて、WAFや侵入検知システム(IDS)にて該当通信の有無を確認してください。
AWS環境ではWAFのルールセット(v1.24以降)によって一部防御が提供されていますが、パッチ適用の代替にはなりません。
侵害の有無が不明な場合は専門家による調査
不審な通信やアクセスが発生していた場合、自力での復旧や削除は証拠を消してしまう恐れがあるため、早期に専門会社による調査と対策を講じることが重要です。
たとえば、マルウェア感染や改ざん、外部サービス経由での情報漏えいが疑われる場合、社内のみでの確認作業には限界があり、操作ミスやログの上書きによって証拠が失われるリスクが高まります。
また、再発防止の観点からは、脆弱性診断やセキュリティ監査の実施も非常に重要です。フォレンジック調査とあわせて脆弱性の所在や構造的課題を明確化することで、根本的な対策と体制強化につながります。
デジタルデータフォレンジックでは、スマホやPC、クラウド、サーバなど多様な環境での調査に対応しており、操作ログや通信記録、マルウェアの挙動などを横断的に解析することで、不正アクセスの経路・情報漏えいの範囲・被害発生の有無を明らかにします。
また、調査結果は中立性と法的証拠性を備えた「第三者報告書」として提出可能で、監督官庁や取引先への説明、訴訟や損害賠償対応の際にも活用できます。
24時間365日、ご相談から初期診断・見積もりまで無料対応しています。スマホ法施行後のインシデント対応でお困りの際は、専門アドバイザーにご相談ください。
まとめ
ReactやNext.jsを利用している組織は、まず現在のバージョンを確認のうえ、対象となる場合は速やかにパッチを適用してください。あわせて、過去のアクセスログやプロセス実行履歴の洗い出しを行い、不審な挙動がなかったかをご確認いただくことをおすすめします。
万が一、不審な通信や実行の痕跡が見つかった場合には、自己対応で痕跡を消してしまう前に、フォレンジック専門業者への初動相談を強く推奨します。
被害を最小限に抑えるためには、初動のスピードと判断が重要です。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
