主なポイント

✓ CVE-2025-55182は、React2Shellに存在する脆弱性であり、攻撃者がリモートでコードを実行できる可能性があります。
✓ この脆弱性は、特に企業のシステムに対して深刻な影響を及ぼす可能性があり、早急な対策が求められています。

社会的影響

! この脆弱性の悪用により、企業の機密情報が漏洩するリスクが高まります。
! 一般ユーザーにとっても、個人情報が危険にさらされる可能性があるため、注意が必要です。

編集長の意見

CVE-2025-55182の脆弱性は、React2Shellを使用している多くの企業にとって深刻な脅威となります。この脆弱性を悪用する攻撃者は、リモートでコードを実行し、システムに対する完全な制御を獲得することが可能です。特に、企業の内部システムや顧客データを扱うアプリケーションにおいては、情報漏洩やサービスの停止といった重大な影響を及ぼす可能性があります。専門家は、企業がこの脆弱性に対して迅速にパッチを適用し、システムの監視を強化することを強く推奨しています。また、ユーザーは、信頼できるソースからのソフトウェアのみを使用し、定期的にセキュリティアップデートを行うことが重要です。今後、攻撃者はこの脆弱性を利用した新たな攻撃手法を開発する可能性が高く、企業は常に最新の情報を把握し、適切な対策を講じる必要があります。セキュリティ教育を通じて、従業員の意識を高めることも重要な対策の一つです。

解説

実運用で広がるReact2Shell（CVE-2025-55182）悪用──公開サーバとクラウド基盤を直撃するRCE

今日の深掘りポイント

本件は公開アプリ層からのRCE（リモートコード実行）を起点に、踏み台化・情報窃取・クラウド横展開まで波及し得る“運用直撃型”の脅威です。
既に攻撃観測が増勢にあるとの報があり、ボット化・乱数的スキャン・越境侵入の組み合わせで「短時間の露出でも侵入される」状況になり得ます。
技術的詳細は限定的ながら、初動は「公開面の緊急遮断・監視強化・特権資格情報の二次被害抑止」に収斂します。パッチ未適用期間の代替策（WAF・リバースプロキシ・実行制御）の具体化が肝です。
メトリクスが示すのは“発生確度と即応必要性の高さ”。一方で新規性は突出せず、既知のRCEオペレーションに則る可能性が高いと読むべきです。つまり防御側は「既に持つ標準防御を最短距離で当てる」ことが勝ち筋です。
72時間以内に資産特定→露出面の縮退→不審プロセス/外向き通信の狩り込み→認証情報ローテーションまでをやり切る設計が実務的です。

はじめに

React2Shellの脆弱性CVE-2025-55182を突いた新たな攻撃が報告され、実運用環境での悪用が継続しています。条件次第でRCEに至ることが示唆され、機密データの漏洩やシステム制御の奪取に繋がるリスクが現実化しています。企業システムが主たる標的となっているとの指摘もあり、公開サーバやクラウド基盤にとって即応が求められる事案です。

公開情報は限定的ですが、コミュニティ報告では当該CVEを狙う試行が増勢である旨が示されており、量的スキャンとオポチュニスティックな侵入の相乗が懸念されます。参考として、セキュリティコミュニティ掲示板でも当該CVEに関する悪用継続が取り沙汰されています（参考リンク参照）。本稿では、確定情報と、編集部の仮説を明確に分けながら、CISO/SOCに必要な即応と中期措置を具体化します。

深掘り詳細

事実整理（確認できるポイント）

CVE-2025-55182はReact2Shellに存在する脆弱性で、特定条件下でリモートから任意コード実行が可能となるリスクがあると報告されています。企業システムでの影響が深刻で、早急な対処が推奨されています。
直近数週間で関連攻撃の観測が増加し、実運用環境での悪用が継続しているとのコミュニティ報告があります。公開サーバやクラウド基盤の踏み台化が懸念されています。
推奨アクションとして、パッチ適用、セキュリティ監査や監視強化、WAFルール整備、ログ監視の必要性が繰り返し指摘されています。
参照: malware.news: More React2Shell exploits (CVE-2025-55182)

編集部のインサイト（ここからは仮説含む）

RCEの「作法」は既知パターンに沿う可能性が高いです。すなわち、公開アプリ層の入力経路からコード実行→外部からペイロード取得→プロセス生成→永続化（あるいはメモリ常駐）→横展開、という連鎖を短時間で完了させる運用だと見ます。従って、WAF単独では遅延策にしかならず、プロセス生成・外向き通信・資格情報窃取の“後段シグナル”を積極的に狩る必要があります。
クラウドでは「踏み台→メタデータサービス到達→一時トークン悪用→横展開」のリスクが増幅します。IMDSv2強制やエグレス制御、ワークロードIDのスコープ最小化が“RCE後の被害半減”に効きます。
メトリクスが示唆するのは、発生確度・即時性・運用適用可能性がいずれも高位という点です。これは“未知の0day”ではなく“攻撃工学的に成熟したRCEの再演”と読み替えるのが現実的で、標準的な可観測性（プロセスツリー、DNS/HTTP外向き、権限昇格イベント）を迅速に当てれば検知・封じ込めの成功率は高められます。
一方、ポジティブ要素が低いという読みは、「放置による劣化」が速いことを意味します。つまり、パッチ適用の遅れが直ちに露出増に転化する局面であり、フリーズ期間中の暫定リスク低減（ルール配信、縮退運用、管理面の変更凍結解除）を例外運用として許容すべきタイミングです。

脅威シナリオと影響

以下は編集部の仮説に基づく想定シナリオです（MITRE ATT&CK準拠で主なテクニックを併記します）。

シナリオ1: ボット化・クリプトマイニング型の量産侵入
想定フロー:
Initial Access: Exploit Public-Facing Application（T1190）
Execution: Command and Scripting Interpreter（T1059）
Persistence: Web Shell / Scheduled Task/Job（T1505.003/T1053）
Defense Evasion: Indicator Removal（T1070）
Command and Control: Ingress Tool Transfer / Web Protocols（T1105/T1071.001）
Impact: Resource Hijacking（T1496）
影響: 短時間で大量ノードが踏み台化。クラウドのオートスケールが費用膨張に拍車をかけます。
シナリオ2: クラウド横展開・資格情報悪用
想定フロー:
Initial Access: T1190
Discovery: Network/Cloud Discovery（T1046/T1580系を想定）
Credential Access: Credentials from Web Browsers / Unsecured Credentials（T1555/T1552）
Lateral Movement: Remote Services（SSH/WinRM等, T1021）
Exfiltration: Exfiltration Over C2 Channel（T1041）
影響: メタデータサービス経由のトークン取得、CI/CDランナーや関係システムへの拡散、サプライチェーン波及の懸念。
シナリオ3: 情報窃取・恐喝（データ流出を梃にした二重恐喝）
想定フロー:
Initial Access: T1190
Collection: Archive Collected Data（T1560）
Exfiltration: Exfiltration Over Web Services（T1567）
Impact: Exfiltration to Leak Site + Service Degradation（T1489相当の妨害も併用）
影響: 顧客データや設計情報の持ち出し。公開インフラに対するサービス停止圧力とセットでの身代金要求。

いずれも「RCE獲得から10〜30分で後段行為」に入る運用が通例で、検知・封じ込めは“分単位のファーストレスポンス”が前提になります。特にクラウドは権限スコープとエグレスの設計差が直撃しやすく、同じ侵入口でも被害曲線が大きく変わります。

セキュリティ担当者のアクション

時間軸で優先度を整理します。詳細仕様が未公開のため、ベンダーパッチが最優先であることを前提に、当面の代替策も併記します。

0〜24時間（初動）
- 資産特定と露出面の縮退
  - 公開面でReact2Shellを含むコンポーネント/ビルド成果物が稼働するサービスを即時棚卸し（SBOM/SCAの最新化、コンテナイメージの再スキャン）。
  - 一時的に不要エンドポイントやHTTPメソッドを閉塞（許可リスト方式へ）。
- 防御の即応適用
  - WAF/リバプロでOSコマンド注入・長大Base64・ファイル取得連鎖（curl|wget|powershell）・サブシェル記号（;||&&|$()）のブロック/レート制御を暫定適用。
  - EDR/監視に「Webプロセス（node等）→/bin/shやpowershellの子プロセス生成」「短時間での外向きHTTP/DNS急増」「未知ドメインへのGET実行」の検知ルールを即時配信。
- 侵害有無のスレッショルド確認
  - 直近72時間のWeb/アプリ/OSログで5xx急増や異常ユーザーエージェント、失敗ログの爆発的増加を確認。
  - クラウドではIMDSアクセス（169.254.169.254）ログ、権限昇格イベント、APIキー使用元の地理変動を点検。
24〜72時間（封じ込めと修復）
- パッチ適用/バージョン固定
  - ベンダーの修正適用を最優先。適用不可の系統は、該当機能の縮退運用または段階的切り離しを実施。
  - コンテナは“再ビルド→再デプロイ”で不正改変を確実に洗い替え。
- 資格情報と秘密管理のローテーション
  - アプリの環境変数・CI/CDシークレット・APIキー・DB資格情報を包括的に再発行。
- 横展開の阻止
  - エグレスの最小化（既知必要先のみ許可）。IMDSv2強制、メタデータ到達に対するローカルFWの施策（クラウド推奨設定に準拠）。
  - Linuxコンテナはno-new-privileges、有効なseccomp/AppArmor、不要ケーパビリティ剥奪、rootファイルシステムのread-only化を適用。
1〜4週間（恒久化と可観測性の底上げ）
- 攻撃面の恒常的縮小
  - 公開ワークロードのSBOM継続生成（ビルドごと）、脆弱パッケージのブロックリスト運用、ピン留めと依存性更新のガードレールをIaC化。
- 可観測性の強化
  - Web→OS→ネットワークの三層相関を前提に、プロセスツリー・ネットワークフロー・DNSログの相関ダッシュボードを構築。
  - ハンティング定式化：「Web親プロセスからのシェル生成」「短時間のスクリプト実行と外向き通信」「一時ファイルからの実行」の3条件を週次でサーチ。
- レッドチーム/パープルチーム演習
  - T1190起点の演習を設計し、SOCプレイブック（封じ込め・根絶・復旧・顧客通知判断）をアップデート。
コミュニケーション/運用
- 変更凍結期間の例外運用を正式化（セキュリティ修正は即時適用を許容）。
- CISA KEV等の公式リスト掲載有無を継続監視し、掲載時は全社優先度を自動昇格するルールを事前に定めます（現時点での掲載可否は本稿では未確認です）。
- 社外公開が必要な場合に備え、法務・広報・CSIRTの合意文案テンプレートを用意。

参考情報

コミュニティ報告: malware.news: More React2Shell exploits (CVE-2025-55182)

注記

上記のうち、攻撃手順の詳細やベンダーパッチの具体バージョン等は公開情報が限られているため、仮説を含みます。実環境への導入時は、ベンダーの正式アドバイザリと自組織の検証結果を優先してください。
メトリクスは本文の総合的な見立てに反映していますが、数値そのものの再掲は避けています。全体像として「発生確度・即時性・運用上の対処可能性がいずれも高位」という読みが現場判断の拠り所になります。

背景情報

i CVE-2025-55182は、React2Shellの特定のバージョンに存在する脆弱性で、攻撃者が悪意のあるリクエストを送信することで、リモートでコードを実行できる可能性があります。この脆弱性は、特にWebアプリケーションにおいて深刻なリスクをもたらします。
i React2Shellは、JavaScriptを使用したアプリケーションで広く利用されており、その脆弱性が悪用されることで、攻撃者はシステムへの不正アクセスやデータの漏洩を引き起こす可能性があります。

メトリクス