セキュリティセキュリティ
2025年12月 セキュリティ情報 React2Shell 脆弱性 [CVE-2025-55182]など
目次
ご挨拶
インフラ業務と並行しつつ「セキュリティの町医者」を目指している三浦です。
2025年12月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(React2Shell 脆弱性 [CVE-2025-55182])
情報公開日:2025/12/03(現地時間)
| 一次情報元(引用元) |
"React2Shell (CVE-2025-55182)"React2Shell (CVE-2025-55182) "The React Team" Critical Security Vulnerability in React Server Components |
| その他、情報ソース |
"Vercel" Summary of CVE-2025-55182 "JPCERT/CC" React Server Componentsの脆弱性(CVE-2025-55182)について "IPA" React Server Componentsにおける脆弱性について(CVE-2025-55182) |
| CVE番号及び深刻度 |
CVE 番号:CVE-2025-55182 (React.js) 深刻度:Critical (CVSSスコア 10.0) CVE 番号:CVE-2025-66478 (Next.js) 深刻度:Critical (CVSSスコア 10.0) ※ ※ 内容としてはCVE-2025-55182と同等となるため、同脆弱性との重複としてReject扱いとされている。 |
| 脆弱性内容 |
現地時間 2025年12月3日、React Server Componentsにおける認証不要のリモートコード実行の脆弱性(別名:React2Shell)が公開された。 なお、公開2日後には悪用が確認されており、PoC(脆弱性が悪用可能であることを実証したコード)も公開されている。 |
| 想定される影響 | 悪意のあるコードが実行され、当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性がある。 |
| 影響を受ける製品 |
react-server-dom-webpack 19.0、19.1.0、19.1.1、および 19.2.0 react-server-dom-parcel 19.0、19.1.0、19.1.1、および 19.2.0 react-server-dom-turbopack 19.0、19.1.0、19.1.1、および 19.2.0 Next.js 14.3.0-canary.77以降、15系、16系 その他、React パッケージやこれらを使用するフレームワーク、ソフトウェア、システムについては各開発元にお問い合わせください。 |
| 解決策 | 最新版にアップデートを行う。 |
| コメント |
・React はエンタープライズ環境を含む幅広いシステムで採用されており、日本国内でも React を用いたシステムを公開しているホストが多数存在するため、利用サービス/システムが該当するか早急に問合せ、対応することを強くお勧めする。
・本脆弱性は中国系サイバー犯罪グループが積極的に悪用しているとのこと。PoCも公開されているため、対応は最優先で行っていただくことを推奨する。 |
その他、注目した脆弱性/ソフトウェアUpdate情報
| 日付 | ソフトウエア | 情報/コメント |
| 2025/12/1 | Android | Google 社は、Androidのセキュリティ更新プログラムを公開。悪用が確認されている脆弱性2件も修正されている。
"Android Security Bulletin--December 2025" https://source.android.com/docs/security/bulletin/2025-12-01 |
| 2025/12/2 | Google Chrome | Google 社は、デスクトップ向け安定版[拡張安定化版含む]、Android 版、iOS 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, December 2, 2025)" https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop.html "Extended Stable Updates for Desktop (Tuesday, December 2, 2025)" https://chromereleases.googleblog.com/2025/12/extended-stable-updates-for-desktop.html "Chrome for Android Update (Tuesday, December 2, 2025)" https://chromereleases.googleblog.com/2025/12/chrome-for-android-update.html "Chrome Stable for iOS Update (Tuesday, December 2, 2025)" https://chromereleases.googleblog.com/2025/12/chrome-stable-for-ios-update.html |
| 2025/12/4 | Apache HTTP Server | The Apache Software Foundation はApache HTTP Server の複数脆弱性を修正したバージョン「2.4.66」をリリース。
"Apache HTTP Server 2.4 vulnerabilities" https://httpd.apache.org/security/vulnerabilities_24.html |
| 2025/12/4 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。
"Release notes for Microsoft Edge Security Updates (December 4, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#december-4-2025 |
| 2025/12/8 | Node.js | 「Node.js」開発チームは重大度の高い問題3件を含む複数脆弱性を修正したバージョンを現地時間12/15にリリースすると予告している。(その後、現地時間 2026年1月7日にリリースを延期するとアナウンス)
"(最新のページタイトル)Wednesday, January 7, 2026 Security Releases" https://nodejs.org/en/blog/vulnerability/december-2025-security-releases |
| 2025/12/9 | Adobe 社複数製品 | Adobe 社の複数製品のアップデートを公開。各製品の脆弱性が修正されている。
"Latest Product Security Updates" https://helpx.adobe.com/security.html |
| 2025/12/9 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。悪用が確認された脆弱性1件、第三者から情報公開された脆弱性2件も修正されている。
"2025 年 12 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/releaseNote/2025-Dec "2025 年 12 月のセキュリティ更新プログラム (月例)" https://www.microsoft.com/en-us/msrc/blog/2025/12/202512-security-update/ 悪用が確認されている脆弱性 "Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability - CVE-2025-62221" https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-62221 第三者から情報公開された脆弱性 "GitHub Copilot for Jetbrains Remote Code Execution Vulnerability - CVE-2025-64671" https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-64671 "PowerShell Remote Code Execution Vulnerability - CVE-2025-54100" https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-54100 |
| 2025/12/9 | Mozilla Firefox /Firefox ESR | Mozilla 社はFirefox /Firefox ESR のセキュリティアップデートを公開。また、Firefox /Firefox ESR 140.x系では悪用が行えた可能性がある脆弱性についても修正されている。
"Mozilla Foundation Security Advisory 2025-92 Security Vulnerabilities fixed in Firefox 146" https://www.mozilla.org/en-US/security/advisories/mfsa2025-92/ "Mozilla Foundation Security Advisory 2025-93 Security Vulnerabilities fixed in Firefox ESR 115.31" https://www.mozilla.org/en-US/security/advisories/mfsa2025-93/ "Mozilla Foundation Security Advisory 2025-94 Security Vulnerabilities fixed in Firefox ESR 140.6" https://www.mozilla.org/en-US/security/advisories/mfsa2025-94/ |
| 2025/12/9 | Google Chrome | Google 社は、iOS 版のGoogle Chrome のアップデートを公開。
"Chrome Stable for iOS Update (Tuesday, December 9, 2025)" https://chromereleases.googleblog.com/2025/12/chrome-stable-for-ios-update_0921169938.html |
| 2025/12/9 | Mozilla Thunderbird | Mozilla 社はThunderbird のセキュリティアップデートを公開。悪用が行えた可能性がある脆弱性についても修正されている。
"Mozilla Foundation Security Advisory 2025-96 Security Vulnerabilities fixed in Thunderbird 140.6" https://www.mozilla.org/en-US/security/advisories/mfsa2025-96/ "Mozilla Foundation Security Advisory 2025-95 Security Vulnerabilities fixed in Thunderbird 146" https://www.mozilla.org/en-US/security/advisories/mfsa2025-95/ |
| 2025/12/10 | Google Chrome | Google 社は、デスクトップ向け安定版[拡張安定化版含む]のGoogle Chrome のアップデートを公開。デスクトップ向け安定版ではゼロデイ攻撃で悪用された脆弱性「CVE-2025-14174」も修正されている。
"Stable Channel Update for Desktop (Wednesday, December 10, 2025)" https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop_10.html "Extended Stable Updates for Desktop (Wednesday, December 10, 2025)" https://chromereleases.googleblog.com/2025/12/extended-stable-updates-for-desktop_10.html |
| 2025/12/12 | Apple 社複数製品 | Apple 社は、複数製品のセキュリティUpdate を公開。一部製品では特定の個人を標的とした攻撃で悪用された可能性があると報告を受けた脆弱性も修正されている。
悪用された可能性があると報告を受けた脆弱性修正を含んだもの "About the security content of Safari 26.2" https://support.apple.com/en-il/125892 "About the security content of watchOS 26.2" https://support.apple.com/en-il/125890 "About the security content of tvOS 26.2" https://support.apple.com/en-il/125889 "About the security content of macOS Tahoe 26.2" https://support.apple.com/en-il/125886 "About the security content of iOS 26.2 and iPadOS 26.2" https://support.apple.com/en-il/125884 悪用された可能性があると報告を受けた脆弱性が含まれていないもの "About the security content of visionOS 26.2" https://support.apple.com/en-il/125891 "About the security content of macOS Sonoma 14.8.3" https://support.apple.com/en-il/125888 "About the security content of macOS Sequoia 15.7.3" https://support.apple.com/en-il/125887 "About the security content of iOS 18.7.3 and iPadOS 18.7.3" https://support.apple.com/en-il/125885 |
| 2025/12/16 | Google Chrome | Google 社は、デスクトップ向け安定版[拡張安定化版含む]、Android 版、iOS 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, December 16, 2025)" https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop_16.html "Extended Stable Updates for Desktop (Tuesday, December 16, 2025)" https://chromereleases.googleblog.com/2025/12/extended-stable-updates-for-desktop_16.html "Chrome for Android Update (Tuesday, December 16, 2025)" https://chromereleases.googleblog.com/2025/12/chrome-for-android-update_01890795727.html "Chrome Stable for iOS Update (Tuesday, December 16, 2025)" https://chromereleases.googleblog.com/2025/12/chrome-stable-for-ios-update_0512233446.html |
| 2025/12/17 | Cisco Secure Email Gateway /Cisco Secure Email and Web Manager | シスコシステムズ合同会社はCisco Secure Email GatewayおよびCisco Secure Email and Web Manager に対するサイバー攻撃キャンペーンが行われていることを公表。
"Reports About Cyberattacks Against Cisco Secure Email Gateway And Cisco Secure Email and Web Manager" https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4 |
| 2025/12/18 | PHPの複数バージョン | PHPの複数バージョン「8.1.34」「8.2.30」「8.3.29」「8.4.16」「8.5.1」をリリース。CVE番号が付与されている脆弱性も複数修正されている。
"ChangeLog - Version 8.1.34" https://www.php.net/ChangeLog-8.php#8.1.34 "ChangeLog - Version 8.3.20" https://www.php.net/ChangeLog-8.php#8.2.30 "ChangeLog - Version 8.3.29" https://www.php.net/ChangeLog-8.php#8.3.29 "ChangeLog - Version 8.4.16" https://www.php.net/ChangeLog-8.php#8.4.16 "ChangeLog - Version 8.5.1" https://www.php.net/ChangeLog-8.php#8.5.1 |
注目したインシデント
2025年11月下旬のインシデント情報も含まれております。
| 公表日 | 発生組織/業種 | インシデント内容 | 情報/コメント |
| 2025/11/27 | 旅客業 | 顧客電話番号に関する不適切投稿 | 窓口担当者が業務用端末から電話番号検索サイトにアクセスし、電話番号に関する口コミとして問い合わせした顧客に関する不適切な投稿を行っていたとのこと。 |
| 2025/11/27 | 学術研究、専門・技術サービス業 | サイバー攻撃によるシステム障害 | 別システムで利用している電子メールは問題無いとコメント。なお、公表時点において復旧の目途が立っていないとのこと。 |
| 2025/11/27 第二報 | 建設・設備関連 | 総当たり攻撃による不正アクセス | 悪意ある第三者が「総当たり攻撃(ブルートフォース攻撃)」により社内ネットワークゲートウェイの認証を突破し、一部サーバへ侵入を試みていたことが判明。 |
| 2025/11/28 | 製紙業 | 第三者によるリモートアクセス | 第三者が複数回にわたり同社のサーバやパソコンに対してリモート接続していたことが判明。調査した結果、同社のリモートアクセス機器に問題があり、侵害を受けたことがわかった。 |
| 2025/11/28 | 地方自治体 | 誤設定による情報漏えい | フォームの誤設定により、氏名/メールアドレス/電話番号 103名分が閲覧可能だったとのこと。 |
| 2025/12/1 | 小売業 | システム不備による個人情報漏えい | 技術的原因はセッション管理に関するプログラム不備。管理的原因としては検証シナリオ不足とコメント。 |
| 2025/12/1 | 一般財団法人 | メールアカウントへの不正アクセスによる不審メール送信 | 調査した結果、海外から当該アカウントへの不正アクセスおよびログインが行われていたことが判明した。 |
| 2025/12/3 | 地方自治体 | 元職員が行った営利目的による個人情報漏えい | 副業で使うために業務用パソコンから特定の個人情報を取得していたとのこと。 |
| 2025/12/4 | 地方自治体 | サイトからの個人情報漏えい | 当該サイトは関係者間での情報共有のために作成されたが、外部から約9カ月間閲覧できる状態になっていた。 |
| 2025/12/4 | 情報・通信業 | 不正アクセスによる情報漏えいの可能性 | 調査の過程で、攻撃の過程でランサムウェアが関与したとみられる痕跡があったとのこと。 |
| 2025/12/4 続報 | 小売業 | 不正アクセスによる情報漏えいの可能性 | 不正アクセスは監視ツールの脆弱性を突かれたことが判明。また、侵害されたサーバーへのアクセス時刻が特定したとコメント。 |
| 2025/12/5 | 情報・通信業 | マルウェア感染及び個人情報漏えい | 開発環境が被害を受けたとのこと。外部からアクセスされた可能性がある個人情報にユーザのメールアドレスがあることから、本番データを加工し開発環境で利用されていた可能性が高い。 |
| 2025/12/5 最終報 | 調査・情報提供サービス業 | 不正アクセスによる個人情報漏えい | 第三者がネットワーク機器の脆弱性を利用したもので、攻撃者は侵入後、セキュリティソフトを無効化していたことが確認された。 |
| 2025/12/6 | 教育 | ランサムウェア被害による個人情報漏えいの可能性 | 職員用グループウェアが被害に遭った。なお、不正アクセスの原因はシステムの脆弱性とコメントしている。 |
| 2025/12/9 | 地方自治体 | ファイルチェック不備による個人情報漏えい | 個人情報が残存しているエクセルファイルを添付しメール送信してしまったとのこと。再発防止策として「ダブルチェックを徹底する」とコメントしている。 |
| 2025/12/10 | 商社・卸売 | メールアカウントへの不正アクセス | メールマガジンのアカウントに対し不正アクセスが行われ、スパム送信の踏み台にされたとのこと。なお、配信システム内にあるデータベースへのアクセスや、個人情報の流出は確認されていないと同社は説明。 |
| 2025/12/10 報道 | 飲料業 | 不正アクセスによる個人情報漏えい | 新たな情報流出としてハッカーが千数百件を公開したと報道。 |
| 2025/12/10 | 県立高校 | データベースへの不正アクセスによるデータ漏えいの可能性 | 利用している外部の教育支援サービスが不正アクセスに遭い、データが漏えいした可能性があるとのこと。 |
| 2025/12/12 続報 | サービス(レジャー)業 | 不正アクセスによる個人情報漏えい | リモートアクセス機器を経由して第三者が不正にネットワークへ侵入。また、一部データが暗号化されていたとのこと。また、顧客150万人の個人情報、役職員・取引先のマイナンバー情報などが流出した恐れがあるとコメント。 |
| 2025/12/17~24 | 大学 | ランサムウェアによる個人情報漏えい | 複数の写真や動画等の流出が判明している。 |
| 2025/12/19 | 学術研究機関 | 盗難 | 海外出張中に個人情報記録パソコンが入った鞄が盗難。しかし、データは遠隔操作で削除したとのこと。 |
| 2025/12/19~21 | ISP | ゼロデイ攻撃による不正アクセス被害 | 世界的に有名なネットワーク機器メーカーのゼロデイ脆弱性が悪用され、スパム対策サービスにて不正アクアスが発生。 |
| 2025/12/22 第二報 | 水産・農林業 | 不正アクセスによる個人情報漏えいの可能性 | ログ等からリモートアクセス用の公開サーバを起点として攻撃が展開され、管理者権限を取得された可能性があることが判明した。 |
| 2025/12/25 | 医療機器関連製造/販売 | スミッシング(SMSフィッシング)による乗っ取り被害 | スミッシングにて「Apple Account」が乗っ取られ、当該アカウントと紐づいている端末が初期化されたとのこと。 |
