任意コード実行でWebアプリを危険にさらす「React2Shell」 日本でも被害確認：「React」に危険な脆弱性

2025年12月初め、JavaScriptライブラリ「React」に脆弱性「React2Shell」が見つかり、現在、攻撃活動が広がりつつある。JPCERT/CCによると、日本でも被害が確認されている。

[Alex Scroxton，TechTarget]

　セキュリティ専門家は、「React2Shell」として知られる脆弱（ぜいじゃく）性「CVE-2025-55182」を悪用した攻撃活動について注意を呼び掛けている。React2Shellは、Meta Platformsが管理するJavaScriptライブラリ「React」の脆弱性で、任意のコード実行を可能にする。Reactは開発者がWebアプリケーションのユーザーインタフェース（UI）を構築する際に使われるツールだ。

　React2Shellは、日本でも悪用が確認されている。この脆弱性はなぜ危険なのか。

React2Shellの危険性と日本企業を狙った悪用

併せて読みたいお薦め記事

「中国」による脅威とは

• 転職先は中国の情報機関だった――解雇されたITエンジニアが中国に狙われる理由
• “中国政府が支援するサイバー犯罪者”が特に狙う「あの脆弱性」とは

　React2Shellは、攻撃者が不正のHTTPリクエストを「React Server Components」（RSC）を処理するサーバに送信することで、認証不要のリモートコード実行能力を得る可能性がある。RSCとは、Reactのコンポーネントをサーバ側で実行するための技術だ。

　React2Shellは2025年12月5日（米国時間）、米国のサイバーセキュリティインフラストラクチャセキュリティ庁（CISA）の脆弱性カタログに追加された。セキュリティ専門家によると、中国を拠点とするサイバー犯罪集団によって悪用されている。具体的には、「Earth Lamia」や「Jackpot Panda」といったサイバー犯罪集団がReact2Shellを利用していることが観察されたという。

　Earth LamiaとJackpot Pandaはいずれも、中国政府によって支援されているとみられる。Earth Lamiaは中南米や中東、東南アジアの組織のWebアプリケーションを狙った攻撃で知られる。一般企業の他、教育機関や政府機関も標的になっている。Jackpot Pandaは主に東アジアや東南アジアでの攻撃活動に取り組んでいる。

　セキュリティベンダーRadwareによると、Reactは効率性や柔軟性のため広く普及しており、Reactを利用したWebアプリケーション開発用フレームワーク「Next.js」を通じてReactが使われている場合もある。そのため、開発者が意識していなくても影響を受ける可能性があり、広範囲に影響が及ぶ恐れがあると同社は説明する。Radwareは、ReactだけではなくNext.jsなどのRSC機能を含むフレームワークを利用している企業に対し、速やかにセキュリティ対策を講じるよう呼び掛けている。

　セキュリティベンダーSuzu Labsの創設者兼CEOマイケル・ベル氏は、Earth LamiaやJackpot Pandaなど「中国拠点のサイバー犯罪集団は脆弱性の開示を監視し、公開されたPoC（概念実証）を取得し、標的組織が対策を講じる前に攻撃を仕掛けている」と警鐘を鳴らす。同氏によると、脆弱性の悪用方法を分析するためにはAI（人工知能）ツールも利用されている。

日本でも悪用を確認

　NTTセキュリティ・ジャパンは2025年12月12日、React2Shellによって実行されるマルウェア「ZnDoor」について注意を喚起した。ZnDoorは未知のマルウェアで、同社が発見し名付けたという。NTTセキュリティ・ジャパンによると、ZnDoorはマルウェア検知を回避するための機能を持ち、標的システムに入り込む。既に日本国内において、ZnDoorが実行された事例が複数観測されている。

　セキュリティ機関のJPCERTコーディネーションセンター（JPCERT/CC）は、React2Shellを悪用した攻撃の被害報告を国内の組織から受領しているという。