React Server Components(RSC)に存在する最大深刻度の脆弱性「React2Shell」を悪用した攻撃が継続的に観測されており、暗号資産マイナーや複数の未確認マルウェアが配布されていると報告されています。脆弱なNext.js環境を起点に、WindowsおよびLinuxの双方が攻撃対象となっており、業界を問わず広範な組織に影響が及ぶ可能性があります。既に自動化された攻撃が進行している点が懸念されています。
The Hacker News:React2Shell Exploitation Delivers Crypto Miners and New Malware Across Multiple Sectors
この記事のポイント
影響のあるシステム
- React Server Components(RSC)を利用するアプリケーション
- Next.js を用いたWebサーバー
- Windows および Linux サーバー/エンドポイント
- react-server-dom-webpack / react-server-dom-parcel / react-server-dom-turbopack を使用する環境
推奨される対策
- ReactおよびNext.js関連コンポーネントを最新バージョンへ更新する
- 該当ライブラリを使用しているサーバーの有無を緊急点検する
- 不審な外部通信や暗号資産マイナーの実行を監視する
- Webサーバー上での不審なスクリプト配置やプロセスを確認する
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- React2Shell:React Server Componentsに存在するリモートコード実行可能な脆弱性の通称です。
- CVE-2025-55182:React Server Componentsにおける認証不要のリモートコード実行脆弱性を示す識別子です。
- RSC(React Server Components):サーバー側でReactコンポーネントを実行する仕組みです。
- C2(Command and Control):マルウェアが攻撃者から指示を受け取るための通信基盤です。
React2Shellを起点とした被害シナリオ
調査によると、攻撃者はReact Server Componentsに存在するCVE-2025-55182を悪用し、認証を必要とせずにサーバー上で任意のコードを実行していると報告されています。侵入後はシェルスクリプトを設置し、暗号資産マイナーやバックドア型マルウェアを追加で展開するケースが確認されています。特にLinux環境ではXMRigを用いた暗号資産の不正採掘が多く、Windows環境に対してもOSを区別しない自動化攻撃が行われている点が特徴とされています。このため、攻撃者が特定の組織を狙うというよりも、脆弱な環境を広範に探索して侵害する手法が用いられている可能性があります。
確認されているマルウェアと技術的特徴
今回の攻撃では、Linuxバックドア「PeerBlight」、リバースプロキシ型トンネル「CowTunnel」、ポストエクスプロイト用インプラント「ZinFoq」など、複数のマルウェアが確認されています。PeerBlightはsystemdサービスを用いた永続化や、DGAおよびBitTorrent DHTを用いた冗長なC2通信を備えているとされています。また、ZinFoqはコマンド実行、ファイル操作、SOCKS5プロキシの起動など幅広い機能を持ち、正規プロセスを装って潜伏する点が特徴です。これらの挙動から、単純なマイニング目的にとどまらず、長期的な侵入を視野に入れた攻撃も含まれている可能性が指摘されています。
国内組織が直ちに確認すべき対応事項
日本国内でもReactやNext.jsを利用したWebサービスは多く、同様の脆弱性を抱えた環境が存在する可能性があります。まずは、自組織のシステムで該当ライブラリが使用されていないかを洗い出し、早急に更新対応を行うことが重要です。また、既に侵害されている場合を想定し、不審なプロセス、暗号資産マイナーの実行、外部への異常通信がないかを確認する必要があります。React2Shellの悪用は今後も長期化する可能性があるとされており、一次対応だけでなく継続的な監視体制の構築が求められます。
参考文献・記事一覧
投稿者プロフィール
- CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
最新の投稿
2026.01.27Coolifyで11件の重大欠陥が判明、自己ホスト環境に全面的なリスク
2026.01.26小さな設定ミスが大きな被害に──ThreatsDayが示す最新セキュリティ動向
2026.01.25中国系とされる攻撃グループ、通信事業者を狙いLinuxマルウェアと中継ノードを展開
News2026.01.24WhatsAppを悪用したワーム型攻撃、ブラジルで銀行情報窃取マルウェアが拡散
