React2Shell(CVE-2025-55182)の公開直後、CloudflareはReact Server Components向けの検知・緩和を目的としたWAFのボディパース処理変更により、自社ネットワークに障害を発生させたと説明している。 この障害はHTTPトラフィックのおよそ28%に影響し、多数のウェブサイトで一時的なダウンやエラーが発生したが、Cloudflareはサイバー攻撃ではなく設定変更に起因するものだと強調している。
一方でReact2Shellは、React Server ComponentsのFlightプロトコルにおけるunsafe deserializationに起因するCVSSスコア10.0のリモートコード実行脆弱性であり、ReactだけでなくNext.jsなどのReactベースのフレームワークにも影響が及ぶとされている。 英国政府や米CISAはこの脆弱性が実際に悪用されていると警告し、Known Exploited Vulnerabilities Catalogに追加するなど、各国のセキュリティ当局も迅速に注意喚起を進めている。
AWSのセキュリティブログによると、Earth LamiaやJackpot Pandaを含むChina-nexusの国家系グループが、React2Shellの公開から数時間以内にスキャンや侵入試行を開始し、AWS認証情報の窃取やマルウェアダウンローダの設置など、初期侵入から権限獲得に至る典型的な動きを見せているという。 研究者Lachlan Davidsonやmaple3142によるPoCが公開される一方で、多数の偽PoCも出回っており、防御側の混乱や誤った安心感を生んでいると指摘されている。
From: 
Cloudflare blames Friday outage on borked React2shell fix
【編集部解説】
今回のReact2ShellとCloudflare障害の組み合わせは、フロントエンド技術がもはや「見た目のレイヤー」にとどまらず、インターネット全体の基盤リスクと直結していることを改めて示した事案だと言えます。ReactやNext.jsがサーバサイド実行と密接に結びついた結果、ライブラリレベルの欠陥がCloudflare規模のインフラ障害や国家レベルの攻撃キャンペーンに直結する構造が浮かび上がっています。
Cloudflareの障害は、「React2Shellに攻撃された」結果ではなく、「React2Shellを防ぐためのWAFボディパース処理の変更」が原因である点が重要です。セキュリティ対応そのものが可用性を損なうリスクを抱えていることは以前から指摘されてきましたが、HTTPトラフィック約28%に影響する規模でそれが顕在化したのは、ReactやCloudflareのようなOSS・クラウド基盤への依存度の高さゆえでもあります。
React2Shell自体は、React Server Components(RSC)のFlightプロトコルにおけるunsafe deserializationにより、認証前のリモートコード実行が可能になる脆弱性だと報告されています。React 19系やNext.js 15/16系(App Router利用時)など、現行世代のスタックに広く影響し、「RSCを使っている意識が薄いまま実は影響範囲に入っている」アプリケーションも少なくないと各社の分析は指摘しています。
国家系グループの動きはさらに加速しています。AWSはEarth LamiaやJackpot Pandaといった中国を拠点とする(China-nexus)脅威グループが、React2Shell公開後数時間単位でスキャンや侵入試行を開始したと報告しています。Palo Alto Networksや他のベンダーも、複数セクターにまたがる組織でAWS認証情報の窃取やダウンローダ設置といった活動を観測しており、RaaSやInitial Access Brokerによる二次的なビジネスにつながる可能性も示唆しています。
ディスクロージャーのあり方についても、今回の事案は問いかけを投げかけています。React2Shellの報告者やReactチームは、防御側に時間を与えるために詳細情報やPoCの公開タイミングを段階的にとりましたが、その間に偽PoCや誤情報が大量に出回り、防御側が正しいルール設計やリスク評価を行いにくくなったという指摘が出ています。Radwareなどは「信頼できるセキュリティベンダーやクラウド事業者には、より早く完全な情報を共有し、グローバルな悪用が始まる前に防御策を配布できるようにすべきだ」と提案しており、OSS時代のディスクロージャーモデルを見直す必要性が浮上しています。
このニュースは単なるReactのバグではなく、現代のWebインフラが抱える「3つの構造的リスク」への警告として捉えるべきでしょう。第一に、ReactやNext.jsを採用すること自体がインフラレベルのリスク選択になっており、パッチ戦略や監視設計がプロダクトの事業継続と直結し始めていることです。第二に、中国を含む国家系グループがOSSエコシステムのアップデートを常時モニタリングし、数時間単位でエクスプロイトに転換する体制を標準化していることです。そして第三に、防御側も「パッチ適用待ち」だけではなく、WAFルールやログ分析、蜜罠型の検知などを組み合わせた“脆弱性公開直後モード”を仕組みとして持つ必要があるという事実です。
中長期的には、React2Shellのような事案をきっかけに、RSCやServer Functionsのような抽象化されたサーバ実行モデルが「安全なデフォルト」を前提とした設計に進化していくことが期待されます。同時に、Reactレベルの欠陥がCloudflare規模のトラフィックやクラウド環境全体に波及しうる現実は、OSSに依存するインターネットのどこが単一障害点になりうるのかを、開発者や運用者がより意識的に可視化していく必要性を示しているように思います。
【用語解説】
React2Shell(CVE-2025-55182)
React Server ComponentsのFlightプロトコルにおけるunsafe deserializationが原因で発生する、CVSS 10.0評価のリモートコード実行脆弱性だ。
React Server Components(RSC)
Reactコンポーネントをサーバ側で実行し、その結果だけをクライアントに送る仕組みで、データ取得やレンダリングの一部をサーバにオフロードする機能だ。
Proof of Concept(PoC)
脆弱性が実際に悪用可能であることを示すための検証用コードや手順であり、攻撃者と防御側の双方が動作確認に用いる。
Ransomware-as-a-Service(RaaS)
ランサムウェア運用基盤をサービス化し、他の攻撃者が利用料や分け前と引き換えに攻撃キャンペーンを展開できるビジネスモデルを指す。
Initial Access Broker(IAB)
企業ネットワークへの侵入手口や有効なアクセス権を取得し、それ自体を他の攻撃グループに販売する役割を担うサイバー犯罪者のこと。
Known Exploited Vulnerabilities Catalog(KEV)
米CISAが公表している、実際に悪用が確認された脆弱性の一覧で、連邦機関に対し優先的な対策を求める指標になっている。
【参考リンク】
React(外部)
Metaが中心となって開発するJavaScript UIライブラリの公式サイトであり、React Server Componentsなどの最新情報も提供している。
Next.js(外部)
Vercelが開発するReactベースのフレームワークで、App Routerやサーバ機能を備えたモダンWebアプリケーション開発の公式ポータルである。
Cloudflare(外部)
CDNやWAF、DNS、ゼロトラストサービスなどを提供するクラウドプラットフォームの公式サイトで、多数のWebトラフィックを中継している。
React2Shell.com(外部)
CVE-2025-55182(React2Shell)の概要、影響範囲、タイムラインや対策ポイントを整理した情報サイトで、技術的背景を把握しやすい。
【参考記事】
China-nexus cyber threat groups rapidly exploit React2Shell vulnerability (CVE-2025-55182)(外部)
AWSがChina-nexusグループによるReact2Shellの迅速な悪用状況と、AWS環境向けの検知・緩和策、観測された攻撃パターンを詳細に説明している。
CVE-2025-55182 (React2Shell): Remote code execution in React Server Components(外部)
Datadog Security LabsがReact2Shellの技術的な仕組み、影響バージョン、攻撃シナリオや検知ルール案をまとめた技術分析記事である。
Critical RCE Vulnerabilities Discovered in React & Next.js | Wiz Blog(外部)
WizがReactとNext.jsにおけるReact2Shellの影響範囲やクラウド環境でのリスク、推奨されるパッチ適用と設定見直しのポイントを整理している。
Cloudflare blames today’s outage on React2Shell mitigations(外部)
CloudflareがReact2Shell対策の緊急パッチでHTTPトラフィック約28%に影響する障害を発生させた経緯と、攻撃ではないという公式見解を報じている。
Cyber teams on alert as React2Shell exploitation spreads(外部)
各国の政府機関やセキュリティベンダーがReact2Shellの広範な悪用を確認し、クラウドやSaaS事業者に向けて緊急のパッチ適用と監視強化を呼びかけている。
React2Shell Vulnerability: Maximum-Severity Flaw in React Server Components(外部)
SOC PrimeがReact2Shellの技術概要や攻撃チェーン、IoC、Sigmaルールなどを通じて、実運用における検知と対応の具体的な手がかりを提供している。
React Flaw Mitigation Leads to Cloudflare Outage(外部)
React2Shellの緩和策がCloudflareの障害につながった経緯や、ディスクロージャーと防御のバランスに関する専門家コメントをまとめた記事である。
【編集部後記】
React2Shellのニュースを追いながら、ReactやNext.jsを使うことが、そのまま世界中のインフラとつながる行為なのだと改めて実感しました。 自分が関わっているサービスのスタックを一度書き出して、「同じようなゼロデイ級の脆弱性が出たとき、どんな一歩目を踏み出すだろう?」と想像してみると、設計や運用の前提が少し違って見えてくるかもしれません。この記事が、みなさんが一度立ち止まって考えるきっかけになればうれしいです。
