あなたのReactアプリケーションが、たった1つのHTTPリクエストで完全に乗っ取られる可能性があることをご存知ですか?2025年12月3日に公開されたCVE202555182は、React Server Componentsに存在する認証不要のリモートコード実行脆弱性として、セキュリティ業界に衝撃を与えました。この脆弱性はCVSS 10.0という最高深刻度を記録し、公開からわずか数時間で中国の国家支援グループによる実際の攻撃が確認されています。さらに恐ろしいのは、デフォルト設定のNext.jsアプリケーションがそのまま攻撃可能だという事実です。本記事では、この脅威の全貌と、あなたのシステムを守るための具体的な対策を徹底解説します。
CVE-2025-55182(React2Shell)とは何か?
React blogから引用
CVE-2025-55182は、別名「React2Shell」として知られる、React Server Componentsにおける重大なセキュリティ脆弱性です。この問題は、Reactが「Flight」プロトコルを使用してサーバーとクライアント間でデータをやり取りする際の安全でないデシリアライゼーション処理に起因しています。
2025年11月29日、セキュリティ研究者のLachlan Davidsonによって発見され、Metaのバグバウンティプログラムを通じて責任ある開示が行われました。MetaのセキュリティチームとReactチームは迅速に対応し、12月1日には修正版を作成、そして12月3日に公式に脆弱性が公開されました。
この脆弱性の最も危険な特徴は、認証が一切不要であるということです。攻撃者は特別に細工したHTTPリクエストを送信するだけで、サーバー上で任意のコードを実行できてしまいます。通常のWebアプリケーションでは、管理者権限や特別なアクセス権が必要な操作も、この脆弱性を悪用すれば誰でも実行可能になるのです。
なぜこれほど深刻なのか?影響範囲と危険性
CVE-2025-55182がCVSS 10.0という最高スコアを獲得した理由は、その影響範囲の広さと悪用の容易さにあります。この脆弱性は以下のバージョンに影響を与えます。
React Server Componentsパッケージでは、reactserverdomwebpack、reactserverdomparcel、reactserverdomturbopackの各バージョン19.0.0、19.1.0、19.1.1、19.2.0が影響を受けます。
Next.jsにおいては、バージョン14.3.0canary.77以降のcanaryリリース、すべての15.x系、そして16.x系が脆弱です。さらに驚くべきことに、createnextappで作成した標準的なNext.jsアプリケーションが、開発者が何もコードを変更していない状態でも攻撃可能なのです。
影響を受けるフレームワークとツールは多岐にわたります。React Router、Waku、Vitejsのプラグイン、Parcel、RedwoodSDKなど、React Server Componentsを実装または依存しているすべてのプロジェクトが潜在的な脅威にさらされています。
Wizの調査データによると、クラウド環境の39%に脆弱なインスタンスが存在し、Next.jsを使用している環境の61%が公開アプリケーションを持っているという衝撃的な事実が明らかになりました。つまり、全クラウド環境の44%が、この脆弱性に対して公開された状態で存在していることになります。
実際の攻撃事例中国の国家支援グループの動き
aws blogから引用
この脆弱性の恐ろしさは、理論上の危険性だけではありません。公開からわずか数時間後、実際の攻撃が世界中で観測されました。
AWSの脅威インテリジェンスチームは、2025年12月3日の公開直後から、複数の中国国家支援グループによる活発な悪用試行を確認しています。特に注目すべきは、Earth LamiaとJackpot Pandaという既知の脅威グループの関与です。Earth Lamiaは、ラテンアメリカ、中東、東南アジアの組織を標的に、金融サービス、物流、小売、IT企業、大学、政府機関など幅広いセクターを攻撃してきた実績があります。
AWSのMadPotハニーポットインフラストラクチャで観測された攻撃パターンは、攻撃者の執念深さを物語っています。ある未特定の脅威グループは、2025年12月4日午前2時30分から3時22分までの約1時間にわたって、116回ものリクエストを送信し続けました。攻撃者は複数のペイロードを試し、Linuxコマンドの実行を試み、ファイルの書き込みや重要な設定ファイルの読み取りを繰り返し試行していました。これは単なる自動スキャンではなく、実際にライブターゲットに対してデバッグと改良を行っている証拠です。
Wizの研究チームは、2025年12月5日午前6時(UTC)から、複数の被害者が侵害されたことを確認しています。攻撃者の主な標的は、インターネットに公開されたNext.jsアプリケーションとKubernetesコンテナでした。侵害後の活動として、環境変数、ファイルシステム、クラウドインスタンスのメタデータから認証情報を収集する動きが観測されています。
さらに深刻なのは、複数の暗号通貨マイニングキャンペーンが展開されていることです。ある攻撃では、UPXでパックされたXMRigマイニングソフトウェアが展開され、別のキャンペーンではGitHubから標準のXMRigセットアップをダウンロードし、攻撃者専用のマイニングプールを指定していました。Wizは少なくとも6件のインシデントを確認しており、この数は増加し続けています。
あなたのシステムは大丈夫?影響確認の方法
まず最初に確認すべきは、あなたのアプリケーションがReact Server Componentsを使用しているかという点です。重要なのは、明示的にサーバー関数を実装していなくても、React Server Componentsをサポートしているだけで脆弱になるということです。
Next.jsを使用している場合、バージョン14.3.0canary.77以降のcanaryリリース、15.x系、16.x系のいずれかを使用していれば影響を受けます。特に、App Routerを使用しているプロジェクトは高リスクです。package.jsonファイルを確認し、nextパッケージのバージョンを特定してください。
React本体を使用している場合は、reactserverdomwebpack、reactserverdomparcel、またはreactserverdomturbopackのいずれかのパッケージがバージョン19.0.0、19.1.0、19.1.1、19.2.0である場合、脆弱です。
その他のフレームワークでは、React Router、Waku、VitejsのRSCプラグイン、Parcel、RedwoodSDKを使用している場合も、それらが内部的にReact Server Componentsの脆弱なバージョンを使用している可能性があります。各フレームワークの公式アナウンスメントを確認することが重要です。
攻撃の痕跡を確認するには、アプリケーションログとWebサーバーログを調査してください。nextactionまたはrscactionidヘッダーを含むPOSTリクエスト、リクエストボディに「$@」パターンや「status:resolved_model」パターンを含むもの、予期しないwhoami、id、unameなどの偵察コマンドの実行、/etc/passwdファイルへのアクセス試行、/tmp/ディレクトリへの不審なファイル書き込み(pwned.txtなど)、Node.jsまたはReactアプリケーションプロセスから生成された新しいプロセスなどが、侵害の兆候となります。
今すぐ実施すべき緊急対策
最も重要な対策は、即座にパッチを適用することです。WAFやその他の緩和策は一時的な保護に過ぎず、根本的な解決にはなりません。すべてのホスティングプロバイダーは、顧客を保護するために一時的な緩和策を展開していますが、これらに依存してはいけません。
Reactパッケージの場合、バージョン19.0.1、19.1.2、または19.2.1にアップグレードしてください。これらのバージョンには、ユーザー入力の強化された処理が含まれており、意図しない動作を防ぎます。
Next.jsユーザーは、使用しているリリースラインに応じた最新のパッチバージョンにアップグレードする必要があります。バージョン15.0.xを使用している場合は15.0.5に、15.1.xの場合は15.1.9に、15.2.xの場合は15.2.6に、15.3.xの場合は15.3.6に、15.4.xの場合は15.4.8に、15.5.xの場合は15.5.7に、16.0.xの場合は16.0.7にアップグレードしてください。特別な注意点として、Next.js 14.3.0canary.77以降のcanaryリリースを使用している場合は、最新の安定版14.xにダウングレードする必要があります。
一時的な保護層として、Web Application Firewall(WAF)ルールを展開することも推奨されます。ただし、これはパッチ適用までの橋渡しに過ぎません。
Vercelでホストされているプロジェクトは、自動的に保護されていますが、それでも即座のアップグレードが必要です。Google CloudのCloud Armorを使用している場合、cvecanary事前設定済みWAFルールを使用できます。AWSの場合、AWS WAFマネージドルールセットのAWSManagedRulesKnownBadInputsRuleSetバージョン1.24以降が、CVE202555182の保護を含んでいます。
各プラットフォームごとの具体的な対応手順
Next.jsアプリケーションの更新
Next.jsを使用している場合、npmコマンドを使用して適切なバージョンにアップグレードします。ターミナルを開き、プロジェクトのルートディレクトリで以下のコマンドを実行してください。バージョン15.0.xを使用している場合は「npm install next@15.0.5」、15.1.xの場合は「npm install next@15.1.9」、15.2.xの場合は「npm install next@15.2.6」、15.3.xの場合は「npm install next@15.3.6」、15.4.xの場合は「npm install next@15.4.8」、15.5.xの場合は「npm install next@15.5.7」、16.0.xの場合は「npm install next@16.0.7」を実行します。canaryリリースを使用している場合は「npm install next@14」でダウングレードしてください。
React Routerの更新
React Routerの不安定なRSC APIを使用している場合、複数のパッケージを更新する必要があります。「npm install react@latest」、「npm install reactdom@latest」、「npm install reactserverdomparcel@latest」、「npm install reactserverdomwebpack@latest」、「npm install @vitejs/pluginrsc@latest」の各コマンドを順番に実行してください。
その他のフレームワーク
Expoを使用している場合は、expo.devのchangelogで詳細な緩和策を確認してください。RedwoodSDKの場合、rwsdkバージョン1.0.0alpha.0以降を使用していることを確認し、「npm install rwsdk@latest」で最新ベータ版に更新した後、「npm install react@latest reactdom@latest reactserverdomwebpack@latest」を実行します。Wakuユーザーは「npm install react@latest reactdom@latest reactserverdomwebpack@latest waku@latest」を実行してください。
クラウドプラットフォームでの対策
Google Cloudを使用している場合、Cloud Armorセキュリティポリシーに新しいルールを作成します。Google CloudコンソールでCloud Armorに移動し、既存のポリシーを変更するか新しいポリシーを作成し、特定のマッチ条件式を設定します。この式には、nextactionヘッダーやrscactionidヘッダーの存在をチェックし、特定のコンテンツタイプとcvecanary事前設定済みWAFルールを評価する条件が含まれます。
AWSユーザーは、AWS WAFマネージドルールセットが自動的に更新されるため、AWSManagedRulesKnownBadInputsRuleSetバージョン1.24以降を使用していることを確認してください。さらに、Sonaris Active Defenseが悪意のあるスキャン試行を自動的に検出して制限しています。
Firebase HostingまたはFirebase App Hostingを使用している場合、CVE202555182の悪用を制限するルールがすでに適用されていますが、依然としてパッケージの更新が必要です。Cloud Functions for Firebaseを使用している場合も、アプリケーションの依存関係を更新し、再デプロイしてください。
このサイトをチップで応援
よくある質問
サーバー関数を使用していないアプリケーションも脆弱ですか?
はい、これがCVE202555182の最も危険な側面の1つです。アプリケーションが明示的にReact Server Function エンドポイントを実装していなくても、React Server Componentsをサポートしているだけで脆弱になります。これは、多くの開発者が自分のアプリケーションが安全だと誤認する原因となっています。デフォルト設定のNext.jsアプリケーションがそのまま攻撃可能なのは、この理由によるものです。
WAF保護だけで十分ですか?
いいえ、WAFは一時的な保護層に過ぎません。Vercel、Google Cloud、AWSなどの主要なプラットフォームは、顧客を保護するために迅速にWAFルールを展開しましたが、これらの緩和策は完全な保護を提供しません。WAFルールは既知の攻撃パターンを検出してブロックしますが、新しい回避技術や未知の攻撃ベクトルには対応できない可能性があります。根本的な解決は、脆弱なコンポーネントをパッチ適用されたバージョンにアップグレードすることです。
パッチ適用後も追加の対策は必要ですか?
パッチ適用後も、侵害の痕跡を確認することが重要です。アプリケーションログとWebサーバーログを調査し、不審なPOSTリクエスト、予期しないコマンド実行、ファイルシステムへの不正アクセスなどの兆候を探してください。すでに侵害されている場合、攻撃者はバックドアを設置している可能性があります。疑わしい活動を発見した場合は、直ちにインシデントレスポンスプロセスを開始し、必要に応じてホスティングプロバイダーやセキュリティ専門家に相談してください。
今すぐパソコンやスマホの悩みを解決したい!どうしたらいい?
いま、あなたを悩ませているITの問題を解決します!
「エラーメッセージ、フリーズ、接続不良…もうイライラしない!」
あなたはこんな経験はありませんか?
✅ ExcelやWordの使い方がわからない💦
✅ 仕事の締め切り直前にパソコンがフリーズ💦
✅ 家族との大切な写真が突然見られなくなった💦
✅ オンライン会議に参加できずに焦った💦
✅ スマホの重くて重要な連絡ができなかった💦
平均的な人は、こうしたパソコンやスマホ関連の問題で年間73時間(約9日分の働く時間!)を無駄にしています。あなたの大切な時間が今この悩んでいる瞬間も失われています。
LINEでメッセージを送れば即時解決!
すでに多くの方が私の公式LINEからお悩みを解決しています。
最新のAIを使った自動応答機能を活用していますので、24時間いつでも即返信いたします。
誰でも無料で使えますので、安心して使えます。
問題は先のばしにするほど深刻化します。
小さなエラーがデータ消失や重大なシステム障害につながることも。解決できずに大切な機会を逃すリスクは、あなたが思う以上に高いのです。
あなたが今困っていて、すぐにでも解決したいのであれば下のボタンをクリックして、LINEからあなたのお困りごとを送って下さい。
ぜひ、あなたの悩みを私に解決させてください。
まとめ開発者が取るべき行動
CVE202555182は、ReactとNext.jsエコシステムにとって過去最大級のセキュリティ脅威です。CVSS 10.0という最高深刻度、認証不要のリモートコード実行、デフォルト設定での脆弱性、そして公開直後からの活発な悪用という4つの要素が組み合わさり、前例のない危機を生み出しています。
今すぐ実行すべきアクションは明確です。まず、使用しているReactとNext.jsのバージョンを確認し、影響を受けるバージョンを使用している場合は即座にパッチ適用されたバージョンにアップグレードしてください。次に、一時的な保護としてWAFルールを展開しますが、これだけに頼らないでください。そして、アプリケーションログを確認し、すでに侵害されていないかを調査してください。
中国の国家支援グループを含む複数の脅威アクターが、この脆弱性を積極的に悪用しています。彼らは単に自動スキャンを実行しているだけでなく、ライブターゲットに対して手動でデバッグと改良を行っています。クラウド環境の39%に脆弱なインスタンスが存在するという事実は、この脅威の規模を物語っています。
セキュリティは継続的なプロセスです。今回の対応だけでなく、今後も同様の脆弱性が発見される可能性を考慮し、依存関係の定期的な更新、セキュリティアドバイザリーの監視、包括的なロギングと監視の実装を継続してください。あなたのアプリケーションとユーザーを守るために、今すぐ行動を開始しましょう。
コメント