メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

注意喚起　|　
2025年12月 9日

Reactの脆弱性を狙った攻撃の観測

2025年12月3日に公開されたReact Server Componentsの脆弱性（CVE-2025-55182）について、翌4日に概念実証コード（PoC）が公開されました。この脆弱性が悪用されると、外部から任意のコードが実行される可能性があります。

JSOCでは、前述のPoCを用いた検証の結果、当該脆弱性が容易に悪用可能であることを確認しました。また、汎用的に攻撃を検知するシグネチャにて当該脆弱性の悪用を検知したことから、JSOCオリジナルシグネチャ（JSIG）を緊急リリースしました。

その後、JSIGにて多数の攻撃通信を検知しており、また当該攻撃を起因としたインシデントが複数のお客様で発生したため、注意喚起します。

サイバーセキュリティやラックに関する様々な情報をお届けします。

Reactとは

ReactはWebUI開発に用いられるJavaScriptライブラリで、クライアントサイドとサーバサイドの両方で動作するコンポーネントを含みます。今回の脆弱性は、サーバサイドコンポーネントの特定バージョンを利用している環境で、任意のコマンドが実行される可能性があります。

React Server Componentsにおける認証不要のリモートコード実行の脆弱性（CVE-2025-55182）が公開されました。本脆弱性は、特定のリクエストを受け取ることでコマンドが実行され、任意のファイル作成やボット感染、バックドア設置などの被害が発生する可能性があります。

上記3つのパッケージのバージョン 19.0.0、19.1.0、19.1.1、19.2.0、かつReact Server Componentsをサポートしている場合

なお、このReactを利用したJavaScriptのフレームワークやバンドラーが影響を受けるとの情報が公開されています。以下の製品群をご利用の場合も、同様に早急なアップデートを実施してください。

また、これらの製品以外にも影響を受けるものがあるかもしれないため、React関連のプログラムをご利用の場合は今後更新される情報もご確認ください。

JSOCでは図のとおり、多数の攻撃通信を検知しています。

IPS/NGFW製品における既存のシグネチャでの検知の他、12月7日からは一部の機器でJSOCオリジナルシグネチャ（JSIG）の適用を開始しており、当該シグネチャによる検知をしており、特にポーランドからの攻撃を多く検知しています。

前述の通り被害内容としては任意のファイル作成、ボット感染、バックドアの設置など様々なものが考えられますが、現時点で検知している通信内容からはほぼボットに感染させることを目的としたコマンド実行の試みでした。

実行されるコマンドの内容はwget/curlなどOS標準で実装されているものを用い、ファイルの取得や外部サイトへのアクセスを行っています。コマンド実行によりボットとなるようなファイルをダウンロードする、もしくは通信を行うことで脆弱性があることを攻撃者に通知するものとなっています。

特に多かった通信先を以下に記載しますので、Webサーバからアクセスが発生していないかご確認ください。

脆弱なバージョンのReactや関連フレームワーク（Next.jsなど）を利用していないか調査することを推奨します。今後も影響を受ける製品や新たな情報が提供される可能性があるため、各ベンダーからの情報収集を継続してください。

脆弱なバージョンを利用している場合は、速やかに最新バージョンへアップデートしてください。また、既に攻撃の影響を受けている可能性もある場合は、以下の観点で調査を行うことを推奨します。

本脆弱性を悪用した攻撃通信を検知・遮断可能なIPSやWAFなどの製品の導入、本脆弱性の影響によるマルウェア感染や不審な挙動を検知・防御可能なEDR製品の導入も有効な対策です。