脆弱性「React2Shell」がランサムウェア攻撃に悪用される（CVE-2025-55182）

重大な脆弱性「React2Shell」がランサムウェア攻撃に悪用される（CVE-2025-55182）

BleepingComputer – December 17, 2025

ランサムウェアグループが重大な脆弱性「React2Shell」（CVE-2025-55182）を悪用して企業ネットワークへ侵入し、瞬時にファイル暗号化マルウェアを展開したと報じられている。

サイバーセキュリティ企業S-RMの研究者によると、この脆弱性を悪用してWeaxorランサムウェアを展開した攻撃が5日に実施された。攻撃者はReact2Shellを介して初期アクセスを獲得した直後、難読化されたPowerShellコマンドを実行。コマンド＆コントロール（C2）通信用のCobalt Strikeビーコンを展開した後、Windows Defenderのリアルタイム保護を無効化し、ランサムウェアのペイロードを起動したという。これらはすべて、最初のアクセスから1分以内に発生したと報告されている。

2024年後半から存在が確認されているWeaxorランサムウェアは、MS-SQLサーバーへの侵入を狙うMallox／FARGO（別名「TargetCompany」）をリブランドしたものとみられている。Malloxと同様、攻撃自体はそれほど巧妙ではないとされ、公開サーバーを狙って比較的低額の身代金を要求。二重脅迫に使うデータリークポータルはなく、暗号化フェーズ前にデータ窃取を行う兆候もないようだ。S-RMの研究者によると、攻撃対象はReact2Shellの脆弱性を持つエンドポイントに限定され、ラテラルムーブメント（水平移動）も確認されていない。

3日に公開されたReact2Shellは、ReactライブラリやNext.jsなどの関連フレームワークに影響を与える欠陥。React Server Components（RSC）の「Flight」プロトコルにおける安全でないデシリアライズに起因する問題と説明され、認証なしでリモートコード実行に悪用される危険性がある。この脆弱性は公開直後から悪用が開始されており、国家支援型ハッカーのサイバースパイ活動、新興マルウェア「EtherRAT」の展開、クリプトジャッキング攻撃に使われたことがわかっている。

当局の尋問受けたベラルーシ人ジャーナリスト、返却された携帯電話から新たなスパイウェアが見つかる

The Record – December 18th, 2025

国境なき記者団（RSF）は17日、当局の尋問を受けたベラルーシ人ジャーナリストの携帯電話から、これまで知られていなかったスパイウェアツール「ResidentBat」が発見されたと発表した。

このジャーナリストは東欧の非営利団体RESIDENT.NGOに連絡し、同団体がRSFの協力を得て携帯電話を分析。RSFはアンチウイルスプラットフォームでサンプルを比較した分析に基づき、ResidentBatが遅くとも2021年から使用されていたとの見解を示した。同スパイウェアはAndroidスマートフォンを標的とし、通話記録やSMS、暗号化されたアプリメッセージ、マイク録音、ローカルファイル、スクリーンキャプチャにアクセスできるという。

ResidentBatは同ジャーナリストがベラルーシ国家保安委員会（KGB）に拘束された際にインストールされたとみられ、RSFのプレスリリースには当局が尋問中に携帯電話を押収し、本人にロック解除を強要した旨が記されている。感染発覚のきっかけは、拘束から数日後に携帯電話のアンチウイルスソフトが「疑わしいコンポーネント」を検知したことのようだ。

独裁政権が警察・治安当局の尋問を受けているメディア関係者の携帯電話にスパイウェアを仕込む同様の事例は、セルビアとケニアでも最近発生している。

関連記事：セルビア当局がCellebriteを使って携帯電話のロックを解除し、スパイウェアをインストール（CVE-2024-43047）

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

地政学レポート

インテリジェンス要件定義に関するガイドブック

ディープ＆ダークウェブレポート