React2Shell の悪用試行の拡大を観測：中国に支援される脅威アクターによる攻撃キャンペーン

React2Shell Vulnerability Under Attack From China-Nexus Groups

2025/12/08 DarkReading — 人気のオープンソース JavaScript ライブラリ React に影響を与える深刻な脆弱性が、中国の国家に支援される脅威アクターたちの攻撃対象となっている。2025年12月3日 (水) に公開された CVE-2025-55182 は、未認証の攻撃者にリモート・コード実行 (RCE) を許す脆弱性である。この脆弱性は、安全でないデシリアライゼーションに起因し、React の広範な利用と、認証前の RCE の可能性により、深刻度は CVSS 10.0 と評価されている。

この脆弱性が影響を及ぼす範囲は、バージョン 19.0.0／19.1.0／19.1.1／19.2.0 における、３つのパッケージ (react-server-dom-webpack／react-server-dom-parcel／react-server-dom-turbopack) の React Server Components (RSC) である。

セキュリティ研究者たちは、この脆弱性を React2Shell と呼称している。この名称から思い起こされるのは、2021年に公開され、広範に悪用された Log4j フレームワークの深刻な Log4Shell 脆弱性である。なお、今回のもう１件の脆弱性 CVE-2025-66478 (CVSS：10) は、RSC 脆弱性が Next.js フレームワークに及ぼすダウンストリーム影響に対応するものだ。

すでに React は、CVE-2025-55182 に対するパッチ・バージョン 19.0.1／19.1.2／19.2.1 をリリースし、この問題に対処している。影響を受けるユーザーに強く推奨されるのは、可能な限り早期にパッチを適用することだ。

ダウンストリームへの影響についても、すでに緩和策が一般公開されており、Next.js のメンテナーである Vercel は CVE-2025-66478 のガイダンスおよびパッチをリリースしている。

セキュリティ・コミュニティも迅速に対応し、脆弱性の公開と同時に数多くのメンテナーとベンダーが封じ込めに取り組んだ。当初において、React2Shell の悪用状況には不明な点があったが、残念ながら、いまでは明確な攻撃が確認されている。

China Nexus 系攻撃者による標的化

脆弱性 CVE-2025-55182 が公開された直後の 12月4日 (木) のブログ投稿で、米国 Amazon の CISO である CJ Moses が発したのは、「Amazon の脅威インテリジェンス・チームが発見したのは、中国に関連する複数の脅威アクターによる積極的な悪用試行である。その中には、Earth Lamia／Jackpot Panda などのグループが含まれる」という警告である。

Moses は、「中国の大規模匿名化ネットワークの特性から、攻撃者の帰属の追跡は困難である。攻撃元が特定できない状況で観測された、自律システム番号 (ASN) の大部分が中国インフラに関連し、ほとんどのエクスプロイト活動が、その地域から発信されていることが裏付けられている」と述べた。

それらの脅威アクターは、自動スキャンツールや PoC エクスプロイトなどを用いて脆弱な組織を標的化している。しかし、攻撃者が狙っているのは、今回の脆弱性だけではない。

Moses は「これらのグループは、CVE-2025-55182 のみに活動を限定していない。NUUO Camera の脆弱性 CVE-2025-1338 といった N-Day 脆弱性も、このグループにより同時に悪用されていることを、Amazon 脅威インテリジェンス・チームは観測している」と記している。

こうした観測結果が示すのは、この攻撃が体系的アプローチに基づくことだ。脅威アクターたちは、新たな脆弱性の公開を監視し、利用可能なエクスプロイトを迅速にスキャン・インフラへ統合し、複数の CVE をカバーする広範なキャンペーンを展開することで、脆弱な標的を発見する可能性を最大化している。

React2Shell の継続的な影響と波及

最初に React2Shell を標的にしたのが、中国系の攻撃者たちである可能性が高いが、いまの脅威は初期段階に過ぎず、今後の悪用が彼らだけに限定されるとは考えにくい。また、その影響は、外部からの攻撃に留まらない。12月4日 (木) に Cloudflare は、React2Shell 緩和策として導入した WAF ルールの問題により、短時間の障害に見舞われた。

その一方で、Rapid7 のブログ投稿が示すのは、同社の研究者が公開 PoC エクスプロイトの有効性を検証したことである。他の PoC も公開されているが、そのうちどれが、CVE-2025-55182 の悪用につながるかは現時点で不明である。

Rapid7 のブログ記事が指摘するように、大規模な悪用が始まっていない可能性がある。そして、動作するエクスプロイトが公開された瞬間に、いまの状況が一変する可能性が高い。そのため、脆弱性 CVE-2025-55182／CVE-2025-66478 を抱える組織は、また、抱える疑いのある組織は、直ちに対応する必要がある。

React2Shell の問題は、React Server Components における安全でないデシリアライゼーションが原因であり、認証前のコード実行にいたる深刻なものです。そして、中国系とされる攻撃者が直ちに悪用を開始したことから、脆弱性が公開された瞬間に狙われる状況が分かります。また、Next.js など周辺ツールにも影響が広がるため、関連するライブラリにおいて連鎖的に問題が発生する仕組みとなっています。ご利用のチームは、ご注意ください。よろしければ、React2Shell での検索結果も、ご参照ください。