「React2Shell」として一般に知られるCVE-2025-55182として追跡されているReact Server Components(RSC)の脆弱性は、近年で最も攻撃的な機会主義的エクスプロイト・キャンペーンの一つを引き続き加速させています。
セキュリティ監視企業GreyNoiseは2026年1月7日、この脆弱性が初回開示以降、810万件を超える攻撃セッションで悪用されており、攻撃者が備えのない組織への攻勢を緩める兆しはないと報告しました。
このキャンペーンの規模は前例のない水準に達しています。12月に1日あたり43万件超の試行がピークとなった後、日次の悪用件数は30万〜40万件の攻撃セッションの間で安定しています。
この持続的な攻撃率は、脆弱性の深刻さと、多様な地理的地域およびネットワーク基盤にまたがって活動する脅威アクターにとっての魅力を浮き彫りにしています。
GreyNoiseのテレメトリは、101か国にまたがる1,071の自律システムに分布する8,163のユニークな送信元IPアドレスを特定し、この悪用の波が国境を持たない性質であることを示しています。
インフラ分析ではクラウドプロバイダーへの強い依存が明らかになっており、観測された悪用トラフィックの3分の1超をAmazon Web Servicesが占めています。
正規のクラウドプラットフォームへのこの集中は、攻撃者が侵害済み、またはレンタルしたインフラを活用して攻撃をスケールさせる戦略を示しています。
注目すべき点として、悪用に用いられたIPの約50%は2025年12月にGreyNoiseが初めて観測したものであり、大規模な自動化キャンペーンの特徴であるVPSおよびプロキシプールの急速な入れ替わりを示唆しています。
脅威アクターは、脆弱性が重大であるにもかかわらず、比較的標準的な悪用手法を用いています。
攻撃チェーンは、PowerShellの算術コマンドを用いた実行証明(PoE)の検証から始まり、その後、追加ペイロードをダウンロードするbase64エンコードされたPowerShellステージャへと続きます。
第2段階のペイロードは、System.Management.Automation.AmsiUtilsをリフレクションベースで操作することによるAMSI(Antimalware Scan Interface)回避手法を利用しており、これはコモディティ・ツールキットで広く入手可能な、よく文書化された回避手法です。
攻撃の武器庫は70,000超のユニークなペイロードで構成され、攻撃パターンはシステム偵察、リバースシェルの展開、永続化のためのSSH鍵のインストール、暗号資産マイニングの実行に及びます。
ネットワーク・フィンガープリンティング分析では、700のユニークなJA4Hハッシュと340のユニークなJA4Tハッシュが特定され、このキャンペーンを駆動するツール群およびボット亜種の多様性が示されています。
しかし、悪用手法の単純さは、このキャンペーンを支えるインフラの高度さを覆い隠しています。
パッチ未適用の防御側は継続的な包囲に直面しており、脆弱なReact Server Componentのデプロイメントを狙った発見と悪用の試行がほぼ即時に行われています。
パッチ未適用のReactまたはNext.jsインスタンスを運用している組織は、直ちに侵害されるリスクにさらされています。セキュリティチームには、パッチ適用を最優先し、更新された脅威フィードを用いた動的IPブロッキングを実装し、PowerShellの実行パターンおよびAMSI回避の指標に焦点を当てたエンドポイント検知を展開することが強く推奨されます。
翻訳元: https://cyberpress.org/react2shell-vulnerability-5/