-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
2025年12月5〜8日:サイバーセキュリティ関連ニュース
Cloudflareの障害、原因はReact2Shellに対する緩和措置(CVE-2025-55182)
SecurityWeek – December 5, 2025
Cloudflareは、12月5日17時47分(日本時間)から18時12分にかけて発生した障害について、Reactの脆弱性「React2Shell」を緩和するための措置が原因であったことを公表。サイバー攻撃や悪意ある活動の影響ではないと伝えた。
React2Shell(CVE-2025-55182)は、12月3日に開示されたReact Server Componentsにおける認証不要のリモートコード実行の脆弱性。Amazonが12月4日に公開したブログ記事によれば、開示から数時間以内に、Earth LamiaやJackpot Pandaなど複数の中国関連脅威グループによるものとみられる悪用の試みが観測されたという。
Google CloudやAWS、Cloudflareなど大手企業はCVE-2025-55182への対応を迅速に開始。Cloudflareは顧客に対し、同脆弱性に関するWAF保護が展開されたことを脆弱性の開示後すぐに通知していた。しかし同社の適用した緩和措置の一部が原因となり、5日の日本時間17時45分過ぎからCloudflareネットワークの一部で重大な障害が生じ始め、その後修正が完了するまでに、ZoomやLinkedIn、Coinbase、DoorDash、Canvaなどの大手インターネットサービスで障害が報告された。
Cloudflareで重大な障害が発生するのは、最近で2度目。11月中旬に発生した前回の障害は、主要なオンラインサービスや重要機関に数時間にわたり影響を与えた。同社は、この障害に関しても、原因がサイバー攻撃によるものではないことを明らかにしている。
脆弱性React2Shellの悪用で侵害された組織はすでに30以上、セキュリティ企業が報告(CVE-2025-55182)
BleepingComputer – December 6, 2025
Reactの重大な脆弱性React2Shellはすでに30を超える数の組織の侵害に悪用されており、インターネットに露出した脆弱なIPアドレスは日本時間12月5日時点で77,000件以上存在していたという。
12月3日に開示されたReact2Shell(CVE-2025-55182)は、単一のHTTPリクエストを通じて悪用可能な認証不要のRCEの脆弱性。CVSSスコアは10.0と評価されており、Next.jsなど、React Server Componentsを実装しているすべてのフレームワークが影響を受ける。
日本時間12月5日午前6時過ぎには、セキュリティ研究者のMaple3142氏が、未パッチのサーバーに対するリモートコード実行を実演した有効なPoC動画をX上で公開。それから間も無くして、この公開エクスプロイトを使った攻撃者および研究者らによるスキャン活動が増加したという。
インターネット監視団体のShadowserverがMastodonに投稿したレポートによると、日本時間12月5日の時点でReact2Shellに脆弱なIPアドレスの件数は77,664件。このうち国・地域別で最も多かったのは米国(約23,700件)で、日本も2,100件ほどの脆弱なIPが存在していた。一方で翌日6日のデータでは全体の脆弱なIP件数が38,009件、米国が12,427件、日本が869件にまで減少している。
また、脅威インテリジェンス企業のGreyNoiseも12月5日、個別にレポートを公開。過去24時間以内に181件の異なるIPアドレスが同脆弱性の悪用を試みていたことを報告した。これらの悪用試行の大半は自動化されたトラフィックだったものとみられ、その発信元は主にオランダ、中国、米国、香港などだったという。
このように脆弱性の開示以後、複数の研究者や脅威インテリジェンス企業が広範な悪用活動を観測。Palo Alto Networksは、すでに30以上の組織がReact2Shellの悪用を通じて侵害されたと報告しており、攻撃者が同脆弱性を用いてコマンドの実行、偵察活動の実施、AWS構成および認証情報ファイルの窃取を試みていたことを伝えている。
GreyNoiseが観測したあるインシデントでは、CVE-2025-55182を通じたRCEののち、攻撃者はbase64エンコードされたPowerShellコマンドを実行。このコマンドにより実行された第2段階のPowerShellスクリプトがCobalt Strikeビーコンをターゲット端末にインストールし、ネットワーク上での足場作りが行われていたという。
CVE-2025-55182を使った攻撃のいくつかについて、Amazonの脅威インテリジェンスチームとPalo Alto Networksは中国関連のハッキンググループの関与を指摘している。前者は脆弱性の開示から数時間以内にEarth LamiaやJackpot Pandaを含む中国関連のAPTアクターが同脆弱性を悪用して偵察行為を行っていたと報告。Palo Alto Networksも同様の悪用行為を観測しており、そのうちのいくつかをUNC5174というグループによるものだろうと高い確度で評価している。同社によれば、UNC5174は、「中国国家安全部との結びつきを持つ初期アクセスブローカー」であることが疑われるグループだという。UNC5174はこれらの攻撃において、「Snowligh」というマルウェアドロッパーと、「Vshell」という中国アクターが共通して用いるバックドアを展開していたとされる。
CVE-2025-55182は米CISAのKEVカタログ(悪用が確認済みの脆弱性カタログ)にも追加されており、連邦政府機関には12月26日までのパッチ適用が命じられている。
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
地政学レポート
インテリジェンス要件定義に関するガイドブック
ディープ&ダークウェブレポート
とは?.jpg)
