イスラエル・テルアビブ、2025年12月17日 Miggo Securityは、Webアプリケーションファイアウォール(WAF)による保護に重大な欠陥があることを示す包括的なベンチマーク調査を発表しました。React2Shell(CVE-2025-55182)の発見は、これらの脆弱性を現実世界で厳然と裏付けるものとなりました。
「Beat the Bypass: A Benchmark Study of WAF Weaknesses and AI Mitigation(バイパスを打ち破れ:WAFの弱点とAIによる緩和策のベンチマーク調査)」と題された本研究は、従来型のWAFアプローチが、現代のAI対応型脅威に対して根本的に不十分であることを示しています。
本調査は、主要WAFベンダーにまたがる360件超のCVEを分析し、憂慮すべき現実を明らかにしました。最適な条件下であっても、エクスプロイトの52%がデフォルトのWAFルールを回避します。
この結果は、WAFだけで企業を重大な脆弱性から守れるという従来の通説に疑問を投げかけます。
本研究は、現代のセキュリティチームにとっての戦略的必須事項を示しています。WAFは必要なインフラである一方、重大なCVEや新たに出現するAI駆動型脅威に対する信頼できる緩和レイヤーとして機能するには、大幅な強化なしでは不可能です。
React2Shellは、露出期間(Exposure Window)問題を象徴しています。このCVSS 10.0の脆弱性は、Flightプロトコル内の複雑なデシリアライズロジックを悪用します。まさにこの領域こそ、標準的なWAFシグネチャでは脅威を検知できないことが多い部分です。
Webアプリケーションファイアウォールにおける脆弱性
脆弱性は、エクスプロイトコードが数時間以内に公開されたことで顕在化しましたが、従来型WAFベンダーがCVE固有のルール更新を開発・リリースするまでには平均41日を要しました。
この 41日間のギャップ こそ、組織への被害が通常発生する現代の露出期間を意味します。
WAFの不備による財務的影響は甚大です。Miggoの研究では、中堅企業が運用上のWAF不備により、露出期間リスク、不要な修復コスト、誤検知の影響を含めて、年間約 600万ドルの潜在損失 に直面すると推定しています。
しかし本研究は、有望な解決策も提示しています。AIで強化されたWAF保護です。汎用的な攻撃パターンではなく、特定の脆弱性とアプリケーション文脈に合わせて人工知能でルールを最適化すると、これまで回避されていた脆弱性に対するカバレッジは劇的に向上し、 91%以上 に達します。
これは、反応的で手作業のシグネチャ生成から、実行時インテリジェンスにより駆動される、先回りしたエクスプロイト認識型ルール作成へとWAFアーキテクチャを根本的に転換することを意味します。
Miggo SecurityのCEO兼共同創業者であるDaniel Shechter氏は、核心的な課題を次のように述べました。「WAFは必要ですが、AI対応のゼロデイ競争に単独で勝つことはできません。
React2Shellの脆弱性は、旧来モデルがなぜ破綻するのかを示す教科書的な例です。この41日間のギャップを埋める唯一の方法は、遅くて汎用的なシグネチャから、実行時インテリジェンスによって生成される高速なエクスプロイト認識型ルールへ移行することです。」
業界のベテランもこれらの所見を裏付けています。Akamaiの元最高セキュリティ責任者であるAndy Ellis氏は、未開拓の可能性を強調しました。「実行時の拡張は、WAFを、単発の反応的な修正にとどまらず、あらゆる重大CVEに対して信頼できる高確度の防御レイヤーへと変革するために必要なインテリジェンスと自動化を提供します。」
WebセキュリティをめぐるReact2Shellの懸念
Impervaの元CMOで、RASPの先駆者Prevotyの共同創業者であるJulien Bellanger氏は、この必然性を改めて強調しました。「データは不都合な真実を裏付けています。脆弱性は、手作業のプロセスが対処できる速度を上回って武器化されます。
脆弱性が野に放たれた瞬間、AI攻撃者が従来の防御を凌駕する軍拡競争が始まります。必要なのは、WAFをより賢く、より自動化することです。」
Miggo SecurityのApplication Detection and Response(ADR)ソリューションは、AI搭載の実行時防御を提供することでこれらのギャップに対処し、組織が露出期間を最大99%削減しつつ、運用負荷を30%以上削減できるようにします。
同社は、AI Security分野における Gartner Cool Vendor 2025 として認定され、さらに Frost & SullivanのProduct Innovation Award 2025 も受賞しています。
React2Shellの発見は、不都合な現実を浮き彫りにしています。従来のセキュリティインフラは現代の脅威に対応するため進化しなければならず、さもなければ組織は損失の増大と、脆弱性露出期間の長期化に直面します。
翻訳元: https://gbhackers.com/react2shell-exploit/
