小学生でもわかる「危ないポイント」と確認方法
最近、React(リアクト) という技術で作られたWebサイトに、とても危険な問題(脆弱性:ぜいじゃくせい) が見つかりました。
この問題は
CVE-2025-55182
危険度は最大の10点満点
とても深刻なものです。
「世界共通のモノサシ(CVSS)で、最高レベルの10点と評価されました」
引用元:IPA「React Server Componentsにおける脆弱性について(CVE-2025-55182)」
そもそも「脆弱性」ってなに?
脆弱性とは、かんたんに言うと👇
悪い人に入りこまれてしまう「スキマ」
家で言うと
- カギのかかっていないドア
- 割れた窓
みたいなものです。
今回のReactの問題は、どんな危険?
今回見つかったReactの問題が悪用されると
- 悪い人が 勝手に命令(プログラム)を動かせる
- ファイルを勝手に作られる
- ウイルスやボットを入れられる
- 裏口(バックドア)を作られる
つまり…
ホームページが乗っ取られる可能性がある
ということです。
なぜReactでこんなことが起きるの?
Reactは、画面(見た目)だけでなく、サーバー側でも動く部品を持っています。
今回の問題は
サーバー側で動くReactの部品(Server Components)
にあります。
ここにスキマがあると
- 外から命令を送りこまれる
- サーバーの中で勝手なことをされる
という、とても危険な状態になります。
Reactを使っていると全部ダメなの?
全部ではありません。
た だし、Reactを使った 有名な仕組み も影響を受けます。
たとえば
- Next.js
- React Router
- Expo
- Redwood SDK
- Waku
- @vitejs/plugin-rsc
これらを使っている場合もすぐに最新版へアップデート が必要です。
自分の会社のホームページは大丈夫?
かんたんチェック方法
「うちはReactを使ってるの?」
それを調べる かんたんな方法 を紹介します。
① Shodan(ショーダン)
引用元:「Shodan」https://www.shodan.io/
② BuiltWith(ビルトウィズ)
引用元:「Builtwith」https://builtwith.com/ja/
この2つのサイトに
自社ホームページのURLを入れて検索してみましょう。
もし結果に
- React
- Next.js
などが書いてあったら、ちゃんと調べる必要あり です。
実際に「やさい」のホームページURLで実験してみた
Shodan
「hostname:secure-consumer.com」と入力して検索したよ。
残念ながら「やさい」のblogは、まだできたばかりで検索結果にでなかったよ。
長く運営しているホームページなら出てくるはずです。
Builtwith
これはURLを入力すれば、出てきたよ。
「やさい」のblogは「React」が使われておらず、大丈夫みたい。
でも、表示されなくても安心しちゃダメ!
とても大事なことがあります。
ShodanやBuiltWithに
何も出なかった=安全
ではありません 。
理由は
- 見えない形でReactを使っていることがある
- 情報が古い場合がある
本当に大事なのは「開発者に聞くこと」
一番安全なのは
ホームページを作った人に直接聞くこと
聞くポイントはこの2つです。
- Reactを使っていますか?
- もし使っているなら、今回の脆弱性はアップデートで直していますか?
これを確認してください。
放置するとどうなるの?
もし何もせず放置すると
- ホームページが乗っ取られる
- 犯罪の踏み台にされる
- お客さんの情報を盗まれる
最悪の場合
会社の信用がなくなる
こともあります。
まとめ(とても大事)
- Reactに とても危険な問題 が見つかった
- ReactやNext.jsを使っているサイトは 要注意
- ツールで調べる → 開発者に確認 が大切
- 「知らなかった」は守ってくれない
Reactって何?教えて
他の記事 Reactとは?小学生でもわかる仕組みとできることをやさしく解説 | やさしいサイバーセキュリティ を参考にしてみてください。
コメント