🛡 概要
報告によると、最大深刻度とされるReact2Shell(CVE-2025-55182)のリモートコード実行(RCE)脆弱性を巡り、Google Threat Intelligence Group(GTIG)が中国系サイバースパイ5グループの新たな関与を特定しました。対象は過去1年にリリースされたReact 19.0/19.1.0/19.1.1/19.2.0で、React Server Components(RSC)を用いるNext.js等に影響が及びます。既定構成の複数パッケージ(react-server-dom-parcel / -turbopack / -webpack)が脆弱で、未認証の単一HTTPリクエストで任意コード実行が可能とされています。Palo Alto Networksは侵害が数十組織に及んだと報告し、攻撃者はコマンド実行やAWS設定・認証情報の窃取に悪用。AWSは中国関与のEarth LamiaとJackpot Pandaが開示後数時間で悪用を開始したと警告しています。
🔍 技術詳細
本件は、サーバ側で処理されるRSC関連のリクエスト処理に欠陥が存在し、入力を用いた不正なコードパス到達によりサーバ権限で任意コードが実行される点が核心です。攻撃者は特定のRSC関連パッケージを経由するエンドポイントに細工した1回のHTTPリクエストを送信し、OSコマンド実行やプロセス起動、外部C2への通信開始などを引き起こします。これにより、~/.aws/credentialsやconfigなどのローカルファイルからAWS資格情報を奪取し、後続のクラウドアクセス・データ窃取に繋げる手口が観測されています。GTIGは、UNC6600(MINOCATトンネリング)、UNC6586(SNOWLIGHTダウンローダー)、UNC6588(COMPOODバックドア)、UNC6603(HISONIC更新版)、UNC6595(ANGRYREBEL.LINUX RAT)を新たに関与する国家支援グループとして挙げています。さらに、イラン系脅威や金銭目的の攻撃者がXMRigを展開する事例も確認されています。規模面では、Shadowserverが11万6千超の脆弱IP(うち米国8万超)を追跡し、GreyNoiseは24時間で670超の攻撃元IPを観測。脆弱性公表後の攻撃急増に対し、Cloudflareは12月5日に緊急緩和を適用し、関連する大規模障害に言及しました。なお、本件は「最大深刻度」とされていますが、数値CVSSは本文時点で不明・未示されています。
⚠ 影響
・アプリケーションサーバ乗っ取り、機微データ・認証情報の持ち出し
・AWS資格情報の悪用によるS3等クラウド資産への二次侵入・横展開
・バックドア設置やトンネリングによる長期潜伏、検知回避
・XMRig等によるリソース毀損、パフォーマンス低下、SLA逸脱
・緊急緩和での可用性影響(WAF強化やRSC遮断に伴う機能退行の可能性)
🛠 対策
1) パッチ/アップグレード:React 19系の該当バージョンとRSC関連パッケージの更新を最優先(ベンダー告知・アドバイザリに準拠)。
2) 仮想パッチ:WAFでRCE典型シグネチャ(コマンド連結、難読化ペイロード、過大なヘッダ/パラメータ)を遮断。影響範囲で一時的にRSCエンドポイントの外部公開を抑制。
3) 資格情報保護:影響ホストのAWS認証情報(アクセスキー/セッション)をローテーション。ローカル資格情報の最小化、権限見直し(IAM最小権限)。
4) 侵害調査:該当サーバのプロセスツリー、恒常化(crontab、systemd、Windowsタスク)、新規バイナリ、外向き通信を精査。
5) ネットワーク制御:C2・トンネル疑い宛先のブロック、egress制御強化。
6) モニタリング強化:HTTP 500系急増、異常POST/PUT、同一UAによる広範スキャン、Node/Nextサーバからの外部接続などを監視。
7) 事業継続:緊急緩和に伴う機能影響を踏まえロールバック/段階適用手順を整備。
📌 SOC視点
・Web/アプリログ:単一リクエストで高負荷/例外発生、長大/難読化パラメータ、予期せぬメソッド・ヘッダ混在、同一IPによる全パス走査。
・EDR/ホスト:node/nextサーバプロセスからの/bin/sh, bash, powershell起動、curl/wget経由の取得と即時実行、XMRig既知ファイル名・ハッシュ、恒常化設定の新規作成。
・ファイルアクセス:~/.aws/credentials, ~/.aws/config, 環境変数の列挙、SSH鍵へのアクセス痕跡。
・ネットワーク:新規・不審ASへのアウトバウンド、長寿命TCPセッション、プロトコルトンネリングの兆候。
・クラウド(参考):CloudTrailで見慣れないIP/地域からのAPI利用、新規アクセストークン使用、権限昇格試行(これは二次被害兆候)。
📈 MITRE ATT&CK
・TA0001 初期アクセス / T1190 公開アプリケーションの脆弱性悪用:RSC経由のRCEで侵入。
・TA0002 実行 / T1059.004 コマンド/スクリプトインタプリタ: Unixシェル:OSコマンドを実行。
・TA0006 資格情報アクセス / T1552 不適切に保護された資格情報:AWS認証情報や設定ファイルの窃取。
・TA0011 C2 / T1572 プロトコルトンネリング:MINOCAT等でトンネル確立。
・TA0010 流出 / T1041 C2チャネル経由の流出:窃取データの送出。
・TA0040 影響 / T1496 リソースの搾取:XMRigによる暗号通貨採掘。
🏢 組織規模別助言
・小規模(〜50名):影響資産の棚卸しと外部公開の一時遮断、マネージドWAF/EDRの緊急導入、パッチ適用とAWS鍵ローテーションを同日内で実施。
・中規模(50〜500名):ステージングでの検証後に段階展開。WAF仮想パッチ+Egress制御、Sigma/KQL等の検出ルールをTI(脅威情報)で継続更新。IR手順とコミュニケーション計画を整備。
・大規模(500名以上):攻撃面縮小(RSC公開経路のZone分離)、カナリアリリース、SRE・SOC合同の可用性/セキュリティ両立ガードレール、組織横断ハント(資格情報アクセス、トンネル、暗号マイニングの3軸)。
🔎 類似事例
・CVE-2021-44228 Log4Shell:広範なJavaエコシステムに影響したRCEで、大量スキャンと即時悪用が発生。
・CVE-2022-22965 Spring4Shell:WebフレームワークのRCEとして大規模悪用。
・CVE-2022-26134 Atlassian Confluence RCE:国家系・金銭目的の双方が迅速に悪用、仮想パッチと迅速なアップデートが鍵となった。
🧭 次の一手
1) 自社のReact/Next.js(RSC利用含む)資産の即時棚卸しと露出確認。
2) ベンダー告知に基づく修正版適用、適用前はWAF仮想パッチ+RSC経路の制限。
3) 直近14〜30日分のログで「単一リクエスト後のシェル起動」「AWS資格情報アクセス」「外向き長寿命通信」を横断ハント。
4) 影響ホストのAWSキー全面ローテーションとIAM最小権限徹底。
5) 監視強化(検出ルール、ダッシュボード、アラート閾値)とIRプレイブック更新。
次は「React2Shellハンティング用IOCと検出クエリ集」「WAF仮想パッチ運用ガイド」「資格情報ローテーション手順(AWS/IaC)」を参照してください。
