セキュリティレポート　2025/12/10

2025年12月10日2026年1月7日

今月、世界中のウェブサイトの土台となっている「React」に、セキュリティの危険度を示す最高レベル（CVSS 10.0）の重大な弱点が発見されました。

この弱点は、プロの攻撃者だけでなく、国家レベルの組織にまで狙われており、対策が遅れるとシステムが乗っ取られる危険があります。

貴社の安全を最優先に考え、緊急で対応が必要な情報が含まれておりますので、ぜひ最後までご一読ください。

■ 今月のエグゼクティブサマリー

2025年12月は、広く利用されているオープンソースライブラリ「React」の深刻なリモートコード実行（RCE）脆弱性が複数報告されており、特に注意が必要です。

これらは認証なしでシステムが完全に侵害される可能性 の点で非常に危険性が高いです。

また、中国関連の脅威アクターや北朝鮮関連のグループなど、特定のAPTグループの活動も活発化しており、国内でもランサムウェアによる個人情報流出などのインシデントが報告されました。

今月は、特に以下の脆弱性にご注意ください。これらはCVSSスコアが最高値であり、既に積極的に悪用が確認されています。お使いのシステムや製品が該当しないか確認し、速やかなアップデートまたは回避策の適用を強く推奨します。

■ React Server Componentsの認証不要RCE脆弱性

CVE-2025-55182 (CVSS: 10.0): React Server Componentsのデータの安全でないデシリアライズ に起因し、細工したHTTPリクエストにより、認証を必要とせずリモートでコードを実行される (RCE) 恐れがあります,。この脆弱性は、公開からわずか数時間で中国関連の脅威アクターに悪用が開始され、米CISAのKEVカタログにも追加されました。
影響: React Server Componentsを利用するReact (v19.0.0, 19.1.0, 19.1.1, 19.2.0)、Next.js、Waku、Redwood SDKなどのアプリケーションが影響を受けます。
対策: バージョン19.0.1, 19.1.2, および 19.2.1へのアップグレード を速やかに実施してください。

■ ランサムウェアの被害が記録を更新: 米国金融犯罪取締ネットワーク（FinCEN）のデータによると、2023年のランサムウェア攻撃に対する支払い総額は11億ドルに達し、過去最高を記録しました。特に金融、製造、医療分野で被害が多発しています。また、ClopランサムウェアグループがOracle E-Business Suiteのゼロデイ脆弱性（CVE-2025-61882）を悪用し、医療機関などから機密データを窃取する事例も発生しています。
■ 海事ロジスティクスを狙うボットネット「Broadside」: Miraiベースの新しいボットネット「Broadside」が、海運業界で使用されるTBK Vision DVRのコマンドインジェクション脆弱性 (CVE-2024-3721) を悪用しています,。このボットネットはDDoS攻撃だけでなく、システム認証情報ファイルを窃取し、船舶上の重要なOTシステムへの横展開の足がかりとすることが懸念されています。

今月は特に、クリティカルな脆弱性の公開から悪用開始までのスピードが非常に速いという脅威の傾向が目立ちました。

貴社のシステムがこれらの脅威に晒されていないか、今一度ご確認いただき、特にReact関連のパッチ適用 など、適切なセキュリティ対策を講じていただくようお願いいたします。