本日未明、Cloudflareは、「500 Internal Server Error」メッセージを返し、世界中のウェブサイトやオンラインプラットフォームがダウンする広範囲に及ぶ障害を経験した。
インターネット・インフラストラクチャー企業であるクラウドフレアは、React Server Componentsにおける重大なリモート・コード実行の脆弱性に対処するために設計された緊急緩和策を展開したためであると発表しました。
「この問題は、直接的にも間接的にも、クラウドフレアのシステムに対するサイバー攻撃や悪意ある行為によって引き起こされたものではありません。その代わりに、今週React Server Componentsで公表された業界全体の脆弱性を検出し、緩和するために、当社のボディ解析ロジックに変更が加えられたことが引き金となりました」とCloudflare CTOのDane Knechtは事後報告で述べている。
CloudflareのCTOであるDane Knechtは事後報告で、「Cloudflareが提供する全HTTPトラフィックの約28%を占める顧客のサブセットが影響を受けた」と述べている。
CVE-2025-55182として追跡されているこの最大重大度のセキュリティ欠陥(React2Shellと呼ばれている)は、Webおよびネイティブユーザーインターフェイス用のReactオープンソースJavaScriptライブラリ、およびNext.js、React Router、Waku、@parcel/rsc、@vitejs/plugin-rsc、RedwoodSDKなどの依存Reactフレームワークに影響を及ぼす。
この脆弱性は、React Server Components (RSC) の ‘Flight’ プロトコルに発見されたもので、React Server Function のエンドポイントに悪意を持って細工した HTTP リクエストを送信することで、認証されていない攻撃者が React および Next.js アプリケーションにおいてリモートでコードを実行される可能性があります。
デフォルト設定の複数のReactパッケージ(すなわちreact-server-dom-parcel、react-server-dom-turbopack、react-server-dom-webpack)には脆弱性があるが、この欠陥が影響を受けるのは、過去1年間にリリースされたReactバージョン19.0、19.1.0、19.1.1、19.2.0のみである。
進行中のReact2Shellの悪用
当初考えられていたほど影響は広がっていないが、Amazon Web Services(AWS)のセキュリティ研究者は、複数の中国系ハッキンググループ(Earth LamiaやJackpot Pandaを含む)が、最大重大度の欠陥が公表された数時間後にReact2Shellの脆弱性を悪用し始めたと報告している。
NHS England National CSOCも木曜日に、いくつかの機能的なCVE-2025-55182の概念実証のエクスプロイトが すでに利用可能であると述べ、”野生のエクスプロイトが引き続き成功する可能性が高い “と警告した。
先月、クラウドフレアは、同社のグローバルネットワークが約6時間ダウンする世界的な大停電に見舞われた。”2019年以来最悪の大停電 “とマシュー・プリンス最高経営責任者(CEO)は説明している。
Cloudflareは6月にも大規模な障害を修正し、複数の地域でAccess認証の失敗やZero Trust WARP接続の問題を引き起こし、Google Cloudのインフラにも影響を与えた。
更新 12月05日 11:38 EST:Cloudflare CTO Dane Knechtが共有した事後報告に基づき、記事とタイトルを修正しました。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
Bitpanda、KnowBe4、PathAIのようなIAMサイロを破壊する
壊れたIAMはITだけの問題ではありません – その影響はビジネス全体に波及します。
この実用的なガイドでは、従来の IAM の慣行が現代の要求に追いつけない理由、「優れた」 IAM とはどのようなものかの例、拡張可能な戦略を構築するための簡単なチェックリストについて説明します。
Comments