Reactの深刻な脆弱性「React2Shell」の悪用事例 Google脅威インテリジェンス部門が報告脅威アクターは「中国関連」「暗号通貨マイニング目的」の2タイプ

Google Threat Intelligence Groupは、React2Shell脆弱性の悪用事例を観測したと報告し、侵害の検出方法と推奨対策を紹介した。

» 2025年12月23日 13時00分 公開
[@IT]

 Googleの脅威インテリジェンス部門Google Threat Intelligence Group(以下、GTIG)は2025年12月13日(米国時間)に公式ブログで、「React Server Componentsにおける認証不要のリモートコード実行(RCE)の脆弱(ぜいじゃく)性」(CVE-2025-55182)の悪用事例を観測したと報告し、それらの概要に加え、侵害の検出方法と推奨対策を紹介した。

 この脆弱性は「React2Shell」と呼ばれており、既に「React」の開発チームから下記記事のように報告されている。

GTIGが観測した悪用事例

 GTIGは、複数の地域や業界で多様なペイロードと悪用後の挙動を観測しているが、中国に関連する脅威アクターと、金銭的動機に基づく脅威アクターによる悪用事例に焦点を当てて、次のように報告している。

中国関連の活動

 GTIGは、中国関連の脅威クラスタがReact2Shellの脆弱性を悪用し、以下のようなマルウェアを展開して、世界中のネットワークを侵害していることを確認している。

  • MINOCATトンネラ
    中国関連のスパイ活動クラスタ「UNC6600」(※)が展開。隠しディレクトリを作成し、cronジョブとsystemdサービスで永続性を確立する
  • SNOWLIGHTダウンローダ
    脅威アクター「UNC6586」が展開。Go言語で記述されたマルチプラットフォームバックドア「VSHELL」のコンポーネント
  • COMPOODバックドア
    脅威アクター「UNC6588」が展開。COMPOODは、歴史的に中国関連のスパイ活動に関連付けられているが、UNC6588の動機は現時点で不明
  • HISSONICバックドア
    脅威アクター「UNC6603」がHISSONICバックドアの更新版を展開。HISSONICは、「Cloudflare Pages」「GitLab」などの正規クラウドサービスを利用して暗号化設定を取得し、アジア太平洋地域のクラウドインフラを標的としている
  • ANGRYREBEL.LINUX
    脅威アクター「UNC6595」が展開。「OpenSSH」デーモン(sshd)に偽装して検知を回避し、タイムスンプ(ファイル時刻の改ざん)やシェル履歴クリアなどのアンチフォレンジック活動を行う

※UNCxxxxは、GTIGが追跡対象の脅威アクターに与えている名前。

金銭的動機による活動

 GTIGは、脅威アクターが2025年12月5日以降、CVE-2025-55182を悪用し、違法な暗号通貨マイニングのために「XMRig」ツールを展開する複数の事例を観測している。地下フォーラムでは、スキャンツールやPoC(概念実証)コードの共有が活発化している。

推奨事項

 GTIGは、Reactまたは「Next.js」を使用している組織は、以下を直ちに実行すべきだと推奨している。

1.パッチの適用

 CVE-2025-55182の脆弱性を解消する。CVE-2025-55182以降に公開されたReactの3つの脆弱性(CVE-2025-55183、CVE-2025-55184、CVE-2025-67779)も解消する。

2.Webアプリケーションファイアウォール(WAF)ルールを展開する

 これらの脆弱性を悪用する試みを検知、ブロックするように設計されたWAFを展開する。これは、脆弱なインスタンスのパッチ適用と検証が完了するまでの一時的な緩和策となる。

3.依存関係を監査する

 脆弱なReact Server Componentsが、環境内の他のアプリケーションの依存関係として含まれているかどうかを確認する。

4.ネットワークトラフィックを監視する

 侵害指標(IOC)リスト(後述)に含まれる指標への送信接続について、ログを確認する。特に、Webサーバプロセスによって開始された「wget」や「cURL」コマンドに注意する。

5.侵害の痕跡を調査する

 隠しディレクトリの作成、プロセスの不正終了、シェル設定ファイルへの悪意ある実行ロジックの注入を探す。

侵害指標(IOC)

 GTIGは、最近の調査で観測した侵害の指標を表にまとめて示している。その中には、SNOWLIGHT C2(Command and Control)サーバ、COMPOOD C2サーバのIPアドレスや、各種マルウェアサンプルのハッシュ値などが含まれている。

YARAルール

 GTIGは、MINOCAT、COMPOOD、SNOWLIGHTについて、マルウェアの解析、検知ツールである「YARA」のルールに従って記述している。

Copyright © ITmedia, Inc. All Rights Reserved.

アイティメディアからのお知らせ

スポンサーからのお知らせPR

注目のテーマ

人に頼れない今こそ、本音で語るセキュリティ「モダナイズ」
4AI by @IT - AIを作り、動かし、守り、生かす
Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。