サイバーセキュリティ📖 2分で読了

【Web担当者は今すぐ確認!】React2Shell脆弱性(CVE-2025-55182)とは?影響範囲と対応手順を解説

【Web担当者は今すぐ確認!】React2Shell脆弱性(CVE-2025-55182)とは?影響範囲と対応手順を解説

React/Next.jsに深刻度CVSS 10.0の脆弱性「React2Shell(CVE-2025-55182)」が発見されました。認証不要でリモートコード実行が可能な最悪クラスの脆弱性です。国内でも悪用が確認されており、早急な対応が必要です。影響を受けるバージョン、今すぐやるべき対応手順を解説します。

GXO株式会社の稲葉です。

ReactとNext.jsを使っているWebシステムに、深刻度CVSS 10.0(最大)の脆弱性「React2Shell(CVE-2025-55182)」が発見されました。認証不要でリモートコード実行(RCE)が可能という、最悪クラスの脆弱性です。

すでに国内外で実際の侵害事例が多数報告されており、「パッチが出るまで様子見」できる段階は完全に過ぎています。

本記事では、何が危険なのか、実際にどんな攻撃・被害が起きているのか、そして日本企業のWeb/システム担当者が今すぐ何をすべきかを整理します。社内共有用の資料としてもご活用ください。

React2Shell(CVE-2025-55182)とは何か

Reactチームは2025年12月3日の公式ブログで、「React Server Componentsに認証不要のリモートコード実行の脆弱性があります。直ちにアップグレードすることを推奨します」と発表しました。脆弱性IDはCVE-2025-55182(通称React2Shell)、深刻度はCVSS 10.0(最大値)です。

React Server Components(RSC)が扱う「Flight」プロトコルのデシリアライズ処理に欠陥があり、攻撃者が細工したHTTPリクエストを送るだけで、認証なしでサーバ側で任意のコードを実行できてしまいます。

影響を受ける主なパッケージは以下の通りです。

  • react-server-dom-webpack 19.0 / 19.1.0 / 19.1.1 / 19.2.0

  • react-server-dom-parcel 19.0 / 19.1.0 / 19.1.1 / 19.2.0

  • react-server-dom-turbopack 19.0 / 19.1.0 / 19.1.1 / 19.2.0

修正版として19.0.1 / 19.1.2 / 19.2.1がリリースされています。また、Next.jsなどRSCを利用するフレームワークにも影響が波及しており、Next.js側ではCVE-2025-66478としてアドバイザリが出された後、最終的にReact側のCVE-2025-55182に統合されました。

参考:React公式ブログ「Critical Security Vulnerability in React Server Components」https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components


どのバージョン/システムが影響を受けるのか

Next.jsの影響範囲

Next.js公式アドバイザリでは、以下が影響バージョンとして明記されています。

【影響あり】

  • Next.js 15.x

  • Next.js 16.x

  • Next.js 14.3.0-canary.77以降のcanaryリリース(App Router使用時)

【影響なし】

  • Next.js 13.x

  • Next.js 14.x stable

  • Pages Routerアプリケーション

  • Edge Runtime

修正版として15.0.5 / 15.1.9 / 15.2.6 / 15.3.6 / 15.4.8 / 15.5.7 / 16.0.7などがリリースされています。

重要なポイント

「React Server Functionエンドポイントを実装していなくても、React Server Componentsをサポートしているだけで影響を受ける可能性がある」

つまり「Server Actionsを書いていないから大丈夫」ではありません。App Routerを使っているだけで攻撃対象になり得るという点が、この脆弱性が「最悪クラス」と言われるゆえんです。

他フレームワークへの波及

React公式は、Next.js以外にもReact Router、Waku、Parcel RSC、Vite RSCプラグイン、Redwood SDKなどが影響を受けると列挙しています。JPCERT/CCも同様に、Next.js以外のRSC対応フレームワークでの影響拡大を懸念しています。

なぜ「最悪クラス」の脆弱性なのか

認証不要・1リクエストでRCE

JPCERT/CCによると、攻撃者は「不正なFlightペイロード」を含むHTTPリクエストを送るだけで、認証不要のままReact Server Componentsを処理するサーバ上でリモートコード実行に至ります。

利用率の高さ

クラウドセキュリティ企業Wizの調査によると、クラウド環境の約39%に脆弱なReact/Next.jsが存在するとされています。インターネット全体のインフラを揺るがしうる規模の問題です。

CISAもこの脆弱性を「既知の悪用脆弱性(Known Exploited Vulnerabilities, KEV)」に追加し、米連邦機関に対して2025年12月26日までにパッチを適用するよう義務付けています。

権威ある機関・専門家の警告

本脆弱性について、国内外の権威ある機関が緊急の注意喚起を発表しています。

IPA(独立行政法人 情報処理推進機構)

IPAは本脆弱性を「緊急」として公式アラートを発表し、「本脆弱性を悪用したと思われる攻撃が国内で発生しているとの情報があります。今後、この脆弱性を突いた攻撃が拡大するおそれがあるため、早急に対策を実施してください」と警告しています。

参考:IPA「React Server Componentsにおける脆弱性について(CVE-2025-55182)」https://www.ipa.go.jp/security/security-alert/2025/alert20251209.html


JPCERT/CC(JPCERTコーディネーションセンター)

JPCERT/CCは12月10日の更新で、「JPCERT/CCの調査においても本脆弱性の国内での悪用を確認しています」「本脆弱性を悪用した攻撃の被害を受けたという報告を国内の組織から受領しています」と報告しています。

参考:JPCERT/CC「React Server Componentsの脆弱性(CVE-2025-55182)について」https://www.jpcert.or.jp/newsflash/2025120501.html


CISA(米国サイバーセキュリティ・インフラストラクチャセキュリティ庁)

CISAは本脆弱性をKEV(既知の悪用脆弱性)カタログに追加し、「実際に悪用されていることを確認済み」と明言。米連邦機関に対して2025年12月26日までのパッチ適用を義務付けています。

参考:CISA「CISA Adds One Known Exploited Vulnerability to Catalog」https://www.cisa.gov/news-events/alerts/2025/12/05/cisa-adds-one-known-exploited-vulnerability-catalog


AWS Security Blog

AWSの脅威インテリジェンスチームは、「公開から数時間以内に、Earth LamiaやJackpot Pandaなど複数の中国国家関連脅威グループによる悪用の試みを観測した」と報告しています。

参考:AWS Security Blog「China-nexus cyber threat groups rapidly exploit React2Shell vulnerability」https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/


実際に起きている攻撃・被害事例

本脆弱性を悪用した攻撃は、すでに世界中で確認されています。

中国系国家グループによる大規模侵害

AWSのハニーポットでは、脆弱性公開から数時間以内に中国国家関与グループ(Earth Lamia、Jackpot Panda)による攻撃が観測されました。Palo Alto NetworksのUnit 42は、30以上の組織で侵害が確認されたこと、AWS設定・認証情報ファイルの窃取やバックドア(Snowlight、Vshell)の展開が行われていることを報告しています。

参考:Palo Alto Networks Unit 42「Exploitation of Critical Vulnerability in React Server Components」https://unit42.paloaltonetworks.com/cve-2025-55182-react-and-cve-2025-66478-next/


北朝鮮関連とみられるバックドア「EtherRAT」

Sysdigは、React2Shell経由で侵害されたNext.jsアプリから「EtherRAT」と名付けられた新種バックドアを発見しています。Linuxの永続化メカニズムを5種類同時に仕込み、EthereumスマートコントラクトをC2通信に利用する高度な設計です。北朝鮮系キャンペーンとの類似性が指摘されています。

参考:Sysdig「EtherRAT: DPRK uses novel Ethereum implant in React2Shell attacks」https://www.sysdig.com/blog/etherrat-dprk-uses-novel-ethereum-implant-in-react2shell-attacks


77,000以上の脆弱なIPアドレスが露出

セキュリティ調査機関Shadow Serverによると、日本時間12月5日時点でインターネットに露出した脆弱なIPアドレスは77,664件に上ります。窓の杜やSecurity NEXTなど国内ITメディアも本脆弱性を「重大」として報道しています。

参考:窓の杜「『React』『Next.js』に重大なリモートコード実行の脆弱性」https://forest.watch.impress.co.jp/docs/news/2068815.html

日本国内での被害確認

JPCERT/CCは「本脆弱性を悪用した攻撃の被害を受けたという報告を国内の組織から受領しています」と明記。IPAも「国内で発生しているとの情報があります」と警告しており、日本企業にとって「対岸の火事」ではありません。

今すぐやるべきこと

1. 影響範囲の洗い出し

自社・グループ全体で公開しているWebサービスをすべて列挙してください。コーポレートサイト、会員サイト、管理画面、業務システムのフロントなどが対象です。

各システムについて、React/Next.jsを使用しているか、RSC(React Server Components)やApp Routerを有効にしているかを確認します。

外注開発やSaaSについては、ベンダーに対応状況を問い合わせてください。

2. パッチ適用・バージョンアップ

React RSCパッケージを19.0.1 / 19.1.2 / 19.2.1以降に更新してください。Next.jsを使用している場合は、それぞれ修正版へ更新します。

公式が提供している npx fix-react2shell-next による自動バージョンチェック/更新も活用できます。

3. シークレットのローテーション

Next.jsアドバイザリは、オンラインかつ未パッチ状態で稼働していたアプリについて、パッチ適用後にすべてのシークレットをローテーションすることを推奨しています。

対象は、APIキー・トークン、DB接続情報、外部サービス用OAuth/アクセスキー、署名鍵・暗号鍵などです。

4. ログ・インシデント調査

Webアクセスログでは、next-actionやrsc-action-idヘッダを含むPOSTリクエストがないか確認します。サーバ側では、whoami, id, unameなどのコマンド実行や、Base64デコード+シェル実行の痕跡がないか確認します。

侵害の疑いが少しでもあれば、シークレットのローテーションと合わせてインシデントレスポンスプロセスに乗せることを推奨します。

5. WAF/CDNでの暫定防御

AWS・Akamai・Fastlyなど主要クラウド/CDN各社は、React2Shellを検出するWAFルールを配布しています。

ただし、React公式は「ホスティングプロバイダの緩和策だけに依存せず、必ずパッケージ自体をアップデートするように」と明言しています。WAFはあくまで時間稼ぎと検知強化のための「補助」と割り切ってください。

中長期で見直したいセキュリティ体制

今回の事件は、「自社開発コードにはバグがなくても、フレームワークの更新を怠るだけで一気に『丸裸』になる」ことを示しました。中長期的には、以下のような体制強化が有効です。

SBOM(ソフトウェア部品表)の整備

どのシステムがどのライブラリとバージョンを使っているかを一覧化しておくことで、今回のようなゼロデイが出たときに「数時間で影響範囲を特定できる」状態にできます。

脆弱性情報のウォッチ

React公式ブログ、Next.jsセキュリティアドバイザリ、JPCERT/CC、IPA、CISA KEVなどをRSS/メール購読し、重大度が高いものは自動でアラートする仕組みを検討してください。

パッチ適用ポリシーの刷新

「年1回の大規模アップグレード」ではなく、月次〜四半期での小さなアップデートを標準とする運用への移行を検討してください。

インシデントレスポンス手順の標準化

「重大脆弱性公開→影響調査→暫定対策→本対策→事後レビュー」のフローを事前にPlaybook化しておくと、今回のようなケースでもスムーズに動けます。

まとめ

React2Shell(CVE-2025-55182)は、CVSS 10.0、認証不要のリモートコード実行、Next.js App Routerなどの「デフォルト構成」で広く影響、CISA KEV登録済み(実際に悪用されている)、30以上の組織で侵害確認、国家レベルの攻撃者も参戦という、まさに「最悪クラス」の脆弱性です。

Web/システム担当としての最優先アクションは以下の3点です。

  1. 自社のどのシステムがReact/Next.js(特にRSC / App Router)を使っているか、即座に棚卸しする

  2. React/Next.js/関連パッケージを修正版へアップデートして再デプロイする

  3. シークレットのローテーションとログ調査を実施し、侵害の有無を確認する

この3点を、今日中に社内で共有し、対応の指揮を取ることを強くおすすめします。

自社システムの影響調査・対応でお困りの方へ

「うちのシステムが影響を受けるかわからない」「対応したいが社内にリソースがない」「外注先に確認したいが何を聞けばいいかわからない」といったお悩みはありませんか?

GXO株式会社では、React/Next.jsを含むWebシステムのセキュリティ診断・脆弱性対応のご相談を承っております。影響範囲の調査から、パッチ適用支援、インシデント対応まで、技術者が直接サポートいたします。

まずはお気軽にご相談ください。

▶ お問い合わせ:https://gxo.co.jp/contact/

この記事についてもっと詳しく知りたい方へ

GXOでは、サイバーセキュリティに関する詳しい資料を無料で提供しています。導入事例や成功事例、具体的な導入手順を詳しく解説しています。

こちらの記事もおすすめ

同じカテゴリAIが「実在ネットワーク」でプロを上回った──企業が今すぐ見直すべき『セキュリティの前提』とは

AIが「実在ネットワーク」でプロを上回った──企業が今すぐ見直すべき『セキュリティの前提』とは

2025年12月21日 · 1分で読了

同じカテゴリセキュリティ事故はレガシーシステムから始まる

セキュリティ事故はレガシーシステムから始まる

2026年1月4日 · 9分で読了

同じカテゴリChrome脆弱性CVE-2026-0628が問いかける「企業のセキュリティ体制」の本質

Chrome脆弱性CVE-2026-0628が問いかける「企業のセキュリティ体制」の本質

2026年1月12日 · 9分で読了