TL;DR(今すぐやること)
React Server Components を使用する環境で、認証不要のリモートコード実行(RCE)につながり得る脆弱性が報告されています。公表直後から暗号資産マイナー(XMRig)やバックドア投入が観測されており、該当バージョンの即時更新と侵害確認(プロセス・永続化・通信)まで実施してください。
何が起きているか
2025年12月3日に公表された CVE-2025-55182(通称 React2Shell) は、React Server Components に存在する認証不要のリモートコード実行脆弱性です。この脆弱性は CVSS 10.0(Critical)と評価され、公表直後から複数の脅威アクターによる悪用が観測されています。
攻撃者は脆弱な環境への侵入後、以下のような活動を行っていることが報告されています。
- 暗号資産マイニング。主に XMRig を使用した Monero マイニング
- バックドア・トンネリングツールの投入による永続化
- 追加マルウェアのダウンロードと展開
- systemd サービスや cron による自動起動設定
特に問題なのは、「PoC(概念実証コード)の真偽を巡る混乱がある一方で、実際の悪用は進行している」という点です。つまり、議論している間に侵害されるタイプの脆弱性となっています。
CVE-2025-55182 の詳細と初期対応については、以下の記事で詳しく解説しています。
【緊急】React Server Componentsに深刻な脆弱性(CVE-2025-55182)。今朝対応した記録と、安全なアップグレード手順【Next.js / Bun対応】
影響範囲
影響を受けるパッケージとバージョン
以下のパッケージの特定バージョンが影響を受けます。
react-server-dom-webpackreact-server-dom-parcelreact-server-dom-turbopack
影響を受ける構成
| 項目 | 内容 |
|---|---|
| 対象環境 | React Server Components を使用している環境 |
| フレームワーク | Next.js でサーバサイドレンダリング(SSR)を利用している環境 |
| 公開状況 | 外部からアクセス可能なエンドポイントを持つアプリケーション |
特に優先度が高い環境
以下の環境は対応を最優先してください。
- インターネットに公開されているサーバ
- VPS や EC2 等のクラウド環境で運用している個人開発プロジェクト
- 企業の本番環境(顧客データを扱う環境)
観測された攻撃の特徴
Google Cloud の脅威インテリジェンスチームや複数のセキュリティベンダーから、以下のような攻撃パターンが報告されています。
侵入後の典型的な流れ
観測されたマルウェア・ツール
クリックで詳細を表示
-
XMRig
- Monero マイニング用ツール
- CPU リソースを大量に消費
-
EtherRAT
- 北朝鮮系と見られる新型マルウェア
- Ethereum ネットワークを C2 通信に利用
-
PeerBlight
- Linux 向けバックドア
- 永続化機能を持つ
-
その他のトンネリング/リバースシェルツール
対策手順(優先順)
1. 恒久対策。即時アップデート
影響を受けるパッケージを、修正済みバージョン以上に更新してください。
詳細なバージョン対応表とアップデート手順については、以下の記事をご覧ください。
# package.json の依存関係を確認
npm list react-server-dom-webpack
npm list react-server-dom-parcel
npm list react-server-dom-turbopack
# Next.js を使用している場合は Next.js ごと更新
npm update next react react-dom
# または yarn の場合
yarn upgrade next react react-dom
推奨バージョン
React 19.0.3 以上、Next.js の最新安定版(プロジェクトに応じて確認)
更新後は必ず再起動とデプロイを実施してください。
2. 暫定対策。WAF / リバースプロキシでの制限
即座に更新できない場合は、以下の暫定対策を検討してください。これは恒久対策の代替にはなりません。
- WAF でのリクエストフィルタリング(不審なパターンの遮断)
- レート制限の強化
- 管理系エンドポイントへのアクセス制限(IP ホワイトリスト等)
- 不要なポートの閉鎖
3. 侵害確認。必須チェック項目
更新だけで終わらせず、既に侵害されていないか確認してください。
プロセス確認
# CPU 使用率の高いプロセスを確認
top -b -n 1 | head -20
# 見覚えのないプロセスを確認
ps aux | grep -E 'xmrig|miner|kdevtmpfsi|kinsing'
# Web サーバプロセスから起動された子プロセスを確認
pstree -p $(pgrep -f "node|npm|next")
永続化の確認
# systemd サービスの差分確認(最近追加されたもの)
systemctl list-unit-files --type=service | grep enabled
ls -lt /etc/systemd/system/ | head -20
# cron の確認
crontab -l
ls -la /etc/cron.*
cat /etc/crontab
# スタートアップスクリプトの確認
ls -la /etc/rc*.d/
ls -la ~/.config/autostart/
ネットワーク通信の確認
# 外向き通信の確認
netstat -tunlp | grep ESTABLISHED
ss -tunap | grep ESTAB
# 不審な DNS クエリ(マイニングプール等)
journalctl -u systemd-resolved | grep -E 'pool|xmr|mine'
ファイルシステムの確認
# 最近作成されたファイル(/tmp、/var/tmp、隠しディレクトリ)
find /tmp /var/tmp -type f -mtime -7
find / -type d -name ".*" -mtime -7 2>/dev/null
# Web サーバディレクトリ内の不審なファイル
find /var/www /home -type f -name "*.sh" -o -name "*.elf" -mtime -7
侵害が疑われる場合の対応
もし上記確認で不審な痕跡を発見した場合、以下の対応を検討してください。
| 優先度 | 対応内容 | 詳細 |
|---|---|---|
| 最優先 | 即座に隔離 | 該当サーバをネットワークから切り離す(可能であれば) |
| 高 | 証拠保全 | ログ、プロセス情報、ファイルのスナップショットを取得 |
| 高 | 認証情報のローテーション | API キー、DB パスワード、SSH 鍵等をすべて更新 |
| 高 | セッション無効化 | 既存のユーザセッションを全て無効化 |
| 中 | インシデント対応 | 組織のセキュリティチームやインシデント対応プロセスに従う |
| 中 | 再構築の検討 | 侵害が深刻な場合、クリーンな環境での再構築を推奨 |
タイムライン
2025/12/3 CVE-2025-55182 公表、修正版リリース
2025/12/5頃 攻撃者による悪用が本格化、CyberScoop が報道
2025/12/7頃 個人開発者による被害報告が SNS や dev.to に投稿され始める
2025/12/10 複数のセキュリティベンダーが詳細な攻撃分析を公開
2025/12/11 Google Cloud が複数の脅威アクターによる悪用を報告
追加の脆弱性(CVE-2025-55184 / CVE-2025-55183)も発見
2025/12/12 露出している React サーバの半数以上が未対応との報告
まとめ
React2Shell(CVE-2025-55182)は、公表直後から実際に悪用され、マイニングやバックドア投入といった実害が出ている脆弱性です。「様子を見る」「そのうち対応」ではなく、今すぐ更新と侵害確認を並行で実施することを強く推奨します。
特に個人開発の VPS や EC2 インスタンスは、企業に比べて監視が手薄になりがちなため、CPU 使用率の急上昇や不審なプロセスに気づかず長期間マイニングの踏み台にされるリスクがあります。
本記事は情報提供を目的としており、攻撃手法の詳細な再現手順は含みません。防御と被害確認に焦点を当てています。
参考情報
外部リンク
- Google Cloud Threat Intelligence: Multiple Threat Actors Exploit React2Shell
- The Hacker News: React2Shell Exploitation Delivers Crypto Miners
- IPA: React Server Components における脆弱性について
- Trend Micro: CVE-2025-55182 の分析と実環境での悪用