React2Shell Vulnerability Exploited in the Wild, Analysts Warn
2026/02/10 gbhackers — React2Shell (CVE-2025-55182) は、React Server Components に存在する、事前認証が不要なリモート・コード実行の脆弱性であり、React 19 エコシステム全体で使用されている複数の React バージョンに深刻な影響を及ぼすものだ。それに対して、WXA Internet Abuse Signal Collective (WXA IASC) が開始した、脅威リサーチ・シリーズ “To Cache A Predator” は、CVE-2025-55182 (別名:React2Shell) に関連する攻撃者のインフラと戦術を可視化するためのものだ。具体的には、グローバル・テレメトリ/エンリッチメント・データセット/ハニーポット観測などの相関を分析するものとなる。
第 1 回の調査では、攻撃キャンペーンを示す複数の一貫した指標が統合された。つまり、公開直後の迅速な武器化/Next.js パスに対する持続的なスキャン/少数の高レバレッジかつ高影響ノードに集中するインフラ構成である。公開アドバイザリが解説するのは、サーバサイド・コンポーネントのペイロード解析方法を悪用するように細工された、ネットワーク・リクエストにより攻撃が可能な点であり、防御側に対して迅速なパッチ適用および悪用試行の監視を強く求めている。
初期可視化:Niihama による観測
WXA IASC の Niihama ハニーポットが観測したのは、2025年12月初旬における脆弱性の公開直後から、約 20 時間以内に発生した悪用試行である。これにより、攻撃手法の早期捕捉および攻撃者のプロファイリングが可能となった。
初期の急増後から 2026年2月初旬までの間においても、Niihama は React2Shellと Next.js を標的とするスキャンを継続的に記録している。そこに含まれるのは、”/_next/server” へのプロービングや、”/_next/static/*” 全体に対する大規模探索である。
WXA IASC における NetFlow 由来のテレメトリ全体では、オランダでホストされている 2 つのノードがキャンペーンの中核的ピボットとして顕著に活動しており、この観測期間中に数百万件の相手先と通信を行っていた。
その一方で GreyNoise も、同一の 2 つの IP アドレス (193.142.147[.]209/87.121.84[.]24) が、2026年1月26日から 2月2日までの 7日間に観測された React2Shell 悪用トラフィックの、56% を生成していたと報告している。
この期間中に、GreyNoise センサーは、CVE-2025-55182 を標的とする 1,419,718 件の悪用試行を記録した。その内訳としては、”193.142.147[.]209″ が 488,342 セッション (34%)、”87.121.84[.]24″ が 311,484 セッション (22%) を占めていた。
ILOVEPOOP ツールキット
高精度な React2Shell 活動の多くが、ILOVEPOOP という名の単一のオペレーターが運用する新規のツールキットに関連すると、WXA IASC は指摘している。このツールキットは、複数のホスティング・プロバイダーにまたがる 9 つのスキャナー・ノードで運用されている。
それに加えて、このツールキットは、一貫したヘッダおよび挙動によるフィンガープリンティングが可能であるという。具体的な対象は、Next-Action: x/X-Nextjs-Request-Id: poop1234 や、各試行ごとの X-Nextjs-Html-Request-Id: ilovepoop_*、再現性のある 6 パスの Next.js スイープ、そして共通の User-Agent ローテーションである。これらの特徴が示唆するのは、ランダムなプロービングというより、再利用が可能なエクスプロイト・スタックの存在である。
さらに Niihama は、同一のエクスプロイト基盤に関連する IP からの、後続的な敵対行為も記録している。具体的には、SMB/RDP/SSH/HTTP 攻撃および認証情報の悪用であり、早期警戒を促すものである。侵害が確定したわけではないが、インフラや挙動の重複が示すのは、きわめて高いリスクである。
防御側が取るべき対応策
ユーザー組織として取るべき対応は、CVE-2025-55182 の影響を受ける React/Next.js デプロイメントへのパッチの適用と、緩和策が本番環境に正しく展開/適用されていることの検証である。
リバース・プロキシ/WAF/アプリケーション・ログを調査し、Server Actions 特有の POST パターンや不審な Next.js 内部ヘッダ (ILOVEPOOP のカナリア ID を含む) が検出された場合には、送信元 IP/ASN/ホスティング・プロバイダーのパターンに対する横断的な追跡へと範囲を拡大すべきである。
これらの知見は、敵対的な活動およびスキャン圧力の証拠として扱う必要がある。インターネット公開システムについては、露出削減/最小権限原則の徹底/迅速な封じ込め計画を、優先して実施すべきである。
モダン Web 開発に欠かせない React 19 エコシステムを揺るがす、きわめて深刻な脆弱性 React2Shell について解説する記事です。この問題の原因は、React Server Components (RSC) におけるサーバーサイド・コンポーネントのペイロード解析処理の不備にあります。具体的には、サーバ側で実行される Server Actions などの機能を処理する際に、外部から送られてくる細工されたネットワーク・リクエストの内容を正しく検証できない欠陥が存在しました。この欠陥を突く攻撃者は、事前のログイン (認証) を一切必要とせずに、サーバ上での任意の OS コマンド実行 (RCE) が可能な状態になっていました。
脆弱性の観点では、CVE-2025-55182 が特定されており、Next.js などを用いる数多くの React 19 プロジェクトが影響を受けます。すでに、ILOVEPOOP と呼ばれる攻撃ツールキットを用いた大規模なスキャン活動が確認されており、オランダの特定のサーバなどを起点に、数百万件規模の攻撃試行が行われています。ご利用のチームは、ご注意ください。よろしければ、React2Shell での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.