ウェブサイト開発で広く使われる「React」で致命的なセキュリティ脆弱性が相次いで見つかった。中核脆弱性の「React2shell」は、世界中の数千万台のウェブサーバーを一時に無力化し得る規模として、大型のセキュリティ脆弱性に分類される。韓国のセキュリティ業界は被害拡大を防ぐため先手の対応に乗り出している。
ReactはMeta(メタ)がウェブサイト開発のために作ったツールで、複雑なウェブサービスをより効率的に実装できるよう支援する。Meta(メタ)は2011年に自社サービスへ初めて適用した後、2013年からオープンソースとして公開しており、フロントエンド領域の開発者にとって必須スキルの一つとされるほど世界で広く使われている。フェイスブックやインスタグラムはもちろん、エアビーアンドビー、ネットフリックス、ディスコード、ツイッターなどの海外企業に加え、Toss、クーパン、カカオペイなど韓国の多数企業が利用中である。
◇ 「React2shell」CVSS最高点10点を記録…大型セキュリティ脆弱性
20日セキュリティ業界によると、Reactに関連するセキュリティ脆弱性が相次いで発見されている。最初に見つかったReact2shell(CVE-2025-55182)はReact関連の中核脆弱性だ。この脆弱性は、Reactサーバーコンポーネント(RSC)機能を使う際、サーバーとウェブブラウザーが画面情報をやり取りする「フライトプロトコル」の処理過程で生じた構造的欠陥を突く。ハッカーは正常なリクエストに見えるデータを作ってサーバーへ送り、サーバーがこれを識別できない場合は内部で任意のコマンドを実行できる。こうなるとサービス画面ではなくサーバー自体を掌握することも可能になる。React2shellは「Next.js」などReactベースの他のフレームワークにも被害を与えることが分かっている。
この脆弱性はCVSS最高点の10点を記録しただけに致命的である。CVSSはソフトウェアのセキュリティ脆弱性の深刻度を0.0から10.0まで数値で評価する国際標準で、点数が高いほど悪用可能性と波及力が大きい。CVSS 10.0はネットワーク経由で別途の権限なしに攻撃でき、悪用時に機密性・完全性・可用性のすべてに致命的な影響を与え得る最上位の危険等級だ。業界では今回の脆弱性を、2021年に世界のIT業界を揺るがせた「Log4j」事案と同等水準の脅威と見ている。Log4jもCVSSで10点を記録した。
React2shellに続き、React関連の追加脆弱性も見つかっている。グローバルなセキュリティメディアのThe Hacker Newsによると、Reactコミュニティは11日にReactに関連する新たな脆弱性2件を公開した。「CVE-2025-55183」は攻撃者が特殊なHTTPリクエストを送るとアプリケーションのソースコードを送信してしまう脆弱性だ。「CVE-2025-55184」は攻撃者が改ざんしたリクエストを送るとサーバーを麻痺させるサービス拒否(DoS)攻撃が起きる脆弱性だ。新たな脆弱性はReact2shellと異なりリモートコード実行を許容しないが、短い攻撃コードだけでサーバーを麻痺させたり、ソースコードを通じて機微情報を奪取する悪用が可能だ。
問題は、ReactとNext.jsが世界の数千万のウェブサービスで使われている点である。Reactがグローバルなウェブサービスの中核ツールであるだけに、今回の脆弱性が悪用されれば単一の企業やサービスにとどまらず、ウェブ生態系全般へ衝撃が広がり得るとの懸念も出ている。実際の攻撃の動きも速く表れている。脆弱性の公開からわずか数時間で、中国の国家支援ハッカー組織に分類される「Earth Lamia」と「Jackpot Panda」などがReact2shellを悪用した大規模なスキャニングと侵入試行を行った形跡が捉えられた。ハッカーが世界中のサーバーを手当たり次第にスキャンし、攻撃機会を探す動きが確認されたということだ。
◇ 韓国のセキュリティ業界が先手対応…「最新パッチ適用」を要請
韓国のセキュリティ業界は被害拡大を防ぐために先手対応に乗り出している。韓国インターネット振興院(KISA)は5日に「Reactサーバーコンポーネントのセキュリティアップデート勧告」を通じ、最新パッチの適用を要請した。続いてKISA C-TASを通じ、8日に国内インテリジェンスおよびKISA内部の検知システムを用いて確保した攻撃IPリストを公開した。ランサムウェア感染や資料流出などの被害が生じた場合には速やかにインシデント報告をするよう求めた。
韓国のセキュリティ企業は緊急パッチ版や無料診断サービスを配布している。ティオリはウェブサーバーがReact2shell脆弱性に曝されているかを確認できる診断ツール「ReactGuard」を公開した。このツールはウェブサイトのアドレスを入力するだけで、当該サーバーが脆弱かどうかを自動で点検する。インストール作業が不要で、サーバー内部の動作を変えない非破壊的な診断方式を採用し安全性を確保した。また、外部に露出しない社内網環境での診断が必要な企業向けに専用ソリューションも提供される。
PIOLINKは5日、自社のウェブアプリケーションファイアウォール「WEBFRONT-K」向けの専用検知・遮断シグネチャを緊急配布した。PIOLINKはWEBFRONT-Kの緊急シグネチャ適用により、異常なRSCリクエストの検知と悪性ペイロードの遮断などリアルタイム防御機能を提供し、顧客企業がパッチを適用する前でも即時の保護が可能だとした。また、PIOLINK傘下のサイバー脅威分析チームも、顧客企業が脆弱性の影響を素早く確認できる点検スクリプトを配布した。
セキュリティ業界の関係者は「ウェブ開発環境がオープンソース中心へ急変し、一つの脆弱性だけでもウェブサービス全般に深刻な打撃を与え得る構造になった」と述べ、「React2shellは単純な個別脆弱性ではなく、世界中のサービス運営者に対し開発・運用構造全般のセキュリティ点検を求めている」と語った。