Reactの脆弱性がハッカーに利用され、暗号通貨サイトがJavaScript窃取プログラムの攻撃を受ける潮流

最近、暗号資産ユーザーを対象としたフロントエンド攻撃が急速に拡大しています。サイバーセキュリティの非営利組織であるセキュアアライアンス（SEAL）によると、ハッカーはオープンソースのフロントエンドJavaScriptライブラリReactの新たに発見された脆弱性を悪用し、正当なウェブサイトに暗号資産の窃取プログラムを埋め込む事例が顕著に増加しています。

Reactは現在最も一般的なWebフロントエンドフレームワークの一つであり、各種ウェブサイトやWebアプリケーションの構築に広く利用されています。12月3日、Reactの公式は、ホワイトハッカーのLachlan Davidsonが発見した深刻なセキュリティ脆弱性を公開しました。脆弱性番号はCVE-2025-55182です。この脆弱性は、認証なしのリモートコード実行を可能にし、攻撃者はこれを利用してウェブサイトのフロントエンドにマルウェアを注入し、実行することができます。

SEALは、攻撃者がこの脆弱性を利用して、暗号資産関連のウェブサイトに秘密裏にウォレット窃取プログラムを追加していると指摘しています。これらの悪意のあるスクリプトは、通常正規のフロントエンドコンポーネントやリソースに偽装されており、ユーザーが気づかないうちに動作し、悪意のある取引に署名させてウォレットの資産を直接盗みます。一般的な手口としては、虚偽の報酬ポップアップやフィッシング認証リクエストなどがあります。

特に注目すべきは、SEALが強調している点で、今回の攻撃はWeb3やDeFiプロジェクトに限定されず、影響を受けるReactコンポーネントを使用しているすべてのウェブサイトにリスクが存在します。一般ユーザーは、ウォレットの接続や链上の認証・取引署名を行う際には、十分な警戒心を持ち、受取アドレスや署名内容を慎重に確認すべきです。

ウェブサイト運営者に対して、SEALは即時の全面的な点検を推奨しています。具体的には、CVE-2025-55182の脆弱性が存在するかどうかのスキャン、未知のホストからのリソース読み込みの有無の確認、難読化されたJavaScriptスクリプトの識別、そしてウォレット署名リクエストに表示される受取人情報の異常の有無を確認することです。影響を受けた一部のサイトは、原因が明らかでないままブラウザやセキュリティサービスからフィッシングページとしてマークされる可能性があります。

React公式は12月3日に脆弱性修正パッチを公開し、react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopackを使用しているすべてのプロジェクトに即時アップグレードを推奨しています。同時に、Reactサーバーコンポーネントを使用していないアプリケーションは今回の脆弱性の影響を受けないと説明しています。

現在の暗号資産のセキュリティ状況が厳しさを増す中、この種のフロントエンドサプライチェーン攻撃は、Webセキュリティが暗号エコシステムの中で無視できないシステムリスクであることを再認識させるものです。（Cointelegraph）