深刻なReact Native Metro脆弱性（CVE-2025-11953）が開発システム侵害に悪用される

React Native Metroサーバーの脆弱性が標的型攻撃で悪用される

セキュリティ研究者らは、React NativeのMetroサーバーに存在する重大な脆弱性CVE-2025-11953が、攻撃者によって積極的に悪用され、WindowsおよびLinuxマルウェアによる開発者システムの侵害が発生していることを確認しました。

主な詳細

• 脆弱性：CVE-2025-11953（CVSSスコアは未定）
• 影響を受けるコンポーネント：Metroサーバー（React NativeのJavaScriptバンドラー）
• 攻撃ベクトル：細工されたリクエストによるリモートコード実行（RCE）
• 標的プラットフォーム：WindowsおよびLinuxの開発環境
• 発見：セキュリティ企業SonarSourceにより2025年2月に報告

技術的分析

この脆弱性は、React Nativeアプリの開発中にデフォルトでlocalhost:8081でリッスンするMetroのHTTPサーバーにおける不適切な入力検証に起因します。攻撃者は、このサーバーに対して特別に細工されたリクエストを送信することで、セキュリティ制御を回避し、Metroプロセスの権限で任意のコードを実行できます。

悪用条件：

• Metroサーバーが稼働していること（アプリ開発中によく見られる状態）
• 攻撃者がターゲットシステムへのネットワークアクセスを持っていること（例：侵害された依存関係やフィッシング経由）

影響とリスク

1. サプライチェーンの脅威：侵害された開発者システムにより、React Nativeアプリケーションへの悪意あるコードの注入が可能となり、最終ユーザーに影響を及ぼす恐れがあります。
2. ラテラルムーブメント：攻撃者は、侵害された開発環境から本番システムや企業ネットワークへの移動が可能です。
3. データ窃取：開発環境に保存された機密性の高い知的財産、APIキー、認証情報が危険にさらされます。

緩和策と推奨事項

セキュリティチームと開発者は、以下の対策を直ちに実施する必要があります。

1. パッチ管理：

   • 最新のReact Nativeバージョンにアップデート（2025年3月5日にパッチリリース）。
   • React Nativeチームから提供されたMetroサーバーのセキュリティアップデートを適用。

2. 回避策：

   • Metroサーバーを使用していない場合は無効化。
   • ファイアウォールルールやネットワークセグメンテーションにより、localhost:8081へのアクセスを制限。

3. 監視：

   • 開発者ワークステーション上での異常なプロセス実行を検出するために、EDR/XDRソリューションを導入。
   • 開発環境からの不審なアウトバウンド接続を監視。

4. セキュアな開発プラクティス：

   • 侵害の兆候がないか、サードパーティの依存関係を監査。
   • 開発ツールに対して最小権限アクセスを適用。

侵害の痕跡（IOCs）

具体的なIOCはまだ公開されていませんが、組織は以下の項目を調査する必要があります。

• Windows/Linuxシステム上でnode.exeまたはmetroによって生成された予期しないプロセス。
• localhost:8081との間で発生する不審なネットワークトラフィック。
• React Nativeプロジェクトファイルへの不正な変更。

注意：CVE-2025-11953は、開発者ツールを標的としたサプライチェーン攻撃が増加している傾向を浮き彫りにしています。セキュリティチームは、本番システムと同様に開発環境の強化を優先すべきです。