B
今週中
攻撃者が「Bissa scanner」という自動化ツールを用い、Next.jsの脆弱性(React2Shell/CVE-2025-55182)を悪用して世界中の…
📌 一言でいうと
攻撃者が「Bissa scanner」という自動化ツールを用い、Next.jsの脆弱性(React2Shell/CVE-2025-55182)を悪用して世界中の900以上の企業から機密ファイル(.env)を窃取しました。この攻撃ではAIツールやTelegramボットが活用されており、成功した攻撃の通知がリアルタイムで攻撃者に送信される仕組みとなっていました。盗まれたデータには、クラウドプラットフォームやAIサービスのAPIキー、データベースの認証情報などが含まれています。
🏢影響範囲
金融機関、暗号資産プラットフォーム、小売業などのWebアプリケーションを運用する組織
✅該当時の対応
Next.jsを最新バージョンにアップデートし、CVE-2025-55182の修正を適用すること。また、環境変数ファイル(.env)が公開ディレクトリに配置されていないか確認し、APIキーやパスワードなどの機密情報をローテーションすることを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【脆弱性対応】Next.jsの脆弱性(CVE-2025-55182)による機密情報漏洩の恐れについて
お疲れさまです。Next.jsにおける深刻な脆弱性に関する情報共有です。
■ 概要
Next.jsに「React2Shell」と呼ばれる脆弱性(CVE-2025-55182)が発見されました。攻撃者が自動化ツール(Bissa scanner)を用いて、サーバー上の環境変数ファイル(.env)を窃取し、APIキーやデータベース認証情報を奪取する攻撃が世界的に確認されています。特に金融や暗号資産関連のサイトが標的となっており、Telegramボットを用いたリアルタイムな攻撃管理が行われている点が特徴です。
■ 影響範囲
- Next.js を利用して構築されたWebアプリケーション
- 特に .env ファイルが外部からアクセス可能な状態で配置されている環境
■ 対応手順
1. Next.jsを最新バージョンにアップデートし、CVE-2025-55182の修正を適用してください。
2. Webサーバーの公開ディレクトリに .env ファイル等の機密ファイルが配置されていないか確認してください。
3. 万が一漏洩の疑いがある場合は、APIキー、パスワード、アクセス・トークン等の機密情報を速やかにローテーション(変更)してください。
■ 参考情報
- CVE-2025-55182
- DFIR Report 分析レポート
対応優先度: 高(速やかな対応を推奨します)
お疲れさまです。Next.jsにおける深刻な脆弱性に関する情報共有です。
■ 概要
Next.jsに「React2Shell」と呼ばれる脆弱性(CVE-2025-55182)が発見されました。攻撃者が自動化ツール(Bissa scanner)を用いて、サーバー上の環境変数ファイル(.env)を窃取し、APIキーやデータベース認証情報を奪取する攻撃が世界的に確認されています。特に金融や暗号資産関連のサイトが標的となっており、Telegramボットを用いたリアルタイムな攻撃管理が行われている点が特徴です。
■ 影響範囲
- Next.js を利用して構築されたWebアプリケーション
- 特に .env ファイルが外部からアクセス可能な状態で配置されている環境
■ 対応手順
1. Next.jsを最新バージョンにアップデートし、CVE-2025-55182の修正を適用してください。
2. Webサーバーの公開ディレクトリに .env ファイル等の機密ファイルが配置されていないか確認してください。
3. 万が一漏洩の疑いがある場合は、APIキー、パスワード、アクセス・トークン等の機密情報を速やかにローテーション(変更)してください。
■ 参考情報
- CVE-2025-55182
- DFIR Report 分析レポート
対応優先度: 高(速やかな対応を推奨します)
Subject: [Action Required] Critical Vulnerability in Next.js (CVE-2025-55182) - React2Shell
Dear IT Administration Team,
We are sharing critical information regarding a vulnerability in Next.js that is currently being exploited in the wild.
■ Overview
A vulnerability known as "React2Shell" (CVE-2025-55182) allows attackers to steal sensitive environment files (.env) from Web servers. A large-scale campaign using an automated tool called "Bissa scanner" has already targeted over 900 organizations, stealing API keys, cloud credentials, and database tokens. The attackers utilize AI tools and Telegram bots to manage and notify themselves of successful exploitations in real-time.
■ Scope
- Web applications built using Next.js
- Environments where .env files are exposed or accessible via the web root
■ Mitigation Steps
1. Update Next.js to the latest version to apply the fix for CVE-2025-55182.
2. Audit web server directories to ensure that sensitive files (e.g., .env) are not publicly accessible.
3. If a breach is suspected, promptly rotate all potentially compromised secrets, including API keys, passwords, and access tokens.
■ Reference
- CVE-2025-55182
- DFIR Report Analysis
Priority: High (Prompt action is strongly recommended)
Dear IT Administration Team,
We are sharing critical information regarding a vulnerability in Next.js that is currently being exploited in the wild.
■ Overview
A vulnerability known as "React2Shell" (CVE-2025-55182) allows attackers to steal sensitive environment files (.env) from Web servers. A large-scale campaign using an automated tool called "Bissa scanner" has already targeted over 900 organizations, stealing API keys, cloud credentials, and database tokens. The attackers utilize AI tools and Telegram bots to manage and notify themselves of successful exploitations in real-time.
■ Scope
- Web applications built using Next.js
- Environments where .env files are exposed or accessible via the web root
■ Mitigation Steps
1. Update Next.js to the latest version to apply the fix for CVE-2025-55182.
2. Audit web server directories to ensure that sensitive files (e.g., .env) are not publicly accessible.
3. If a breach is suspected, promptly rotate all potentially compromised secrets, including API keys, passwords, and access tokens.
■ Reference
- CVE-2025-55182
- DFIR Report Analysis
Priority: High (Prompt action is strongly recommended)