React Nativeの開発環境で広く使用されている「@react-native-community/cli」npmパッケージに、深刻なリモートコード実行(RCE)脆弱性が発見され、すでに攻撃者による悪用が確認されています。この脆弱性はMetro Development Serverに影響を与え、認証なしで任意のコードを実行される可能性があります。
この記事のポイント
- CVE-2025-11953(通称Metro4Shell)はCVSSスコア9.8の最高レベルの深刻度
- 2025年12月21日から実際の攻撃が観測されている
- React Native開発者は即座にパッケージの更新が必要
Metro4Shellの脆弱性とは
Metro4Shellと呼ばれるこの脆弱性(CVE-2025-11953)は、React Nativeアプリケーション開発で使用されるMetro Development Serverに存在します。Metro Serverは、React Nativeの開発中にJavaScriptバンドルを提供し、ホットリロード機能を実現する重要なコンポーネントです。
この脆弱性の最も危険な点は、リモートの認証されていない攻撃者が任意のコードを実行できることです。CVSSスコア9.8は「Critical(致命的)」に分類され、これは脆弱性の深刻度として最高レベルを示しています。攻撃者がこの脆弱性を悪用すると、開発者のマシン上で悪意のあるコードを実行し、ソースコードの窃取、バックドアの設置、さらにはサプライチェーン攻撃の起点として利用される可能性があります。
攻撃の実態と影響範囲
サイバーセキュリティ企業VulnCheckによると、この脆弱性を悪用した攻撃は2025年12月21日に初めて観測されました。これは、脆弱性が公開される前から攻撃者がこの欠陥を認識し、悪用していた可能性を示唆しています。
「@react-native-community/cli」パッケージは、React Native開発において事実上の標準CLIツールとして広く使用されています。npmの統計によると、このパッケージは週間数百万回以上ダウンロードされており、影響を受ける開発者の数は非常に多いと推定されます。特に企業の開発環境では、一つの脆弱なマシンから社内ネットワーク全体への横展開攻撃のリスクも懸念されます。
開発サーバーがデフォルトで外部からアクセス可能な状態で起動される場合、攻撃者はインターネット経由で直接攻撃を仕掛けることが可能です。また、開発者が悪意のあるWebサイトを閲覧した際に、そのサイトから内部ネットワークの開発サーバーに対して攻撃が行われる可能性もあります。
推奨される対策
React Native開発者は、以下の対策を直ちに実施することが強く推奨されます。まず、使用している「@react-native-community/cli」パッケージを最新バージョンに更新してください。パッケージの開発チームはこの脆弱性に対するパッチをリリースしているはずです。
また、開発サーバーがローカルホスト(127.0.0.1)のみでリッスンするように設定されていることを確認してください。外部ネットワークからのアクセスを許可している場合は、ファイアウォールルールを見直し、不要なアクセスを遮断することが重要です。
開発環境と本番環境のネットワークを適切に分離することも、万が一の侵害時の被害を最小限に抑えるために有効です。
知っておくと便利なTips
- 開発サーバーは常にローカルホストのみでバインドし、外部からのアクセスを遮断する
- npmパッケージは定期的に
npm auditでセキュリティチェックを実施する - 依存パッケージの自動更新ツール(Dependabot等)を導入し、脆弱性パッチを迅速に適用する体制を整える
- 開発環境でも多層防御の考え方を適用し、ネットワークセグメンテーションを実施する
まとめ
Metro4Shell(CVE-2025-11953)は、React Native開発者にとって深刻なセキュリティリスクをもたらす脆弱性です。CVSSスコア9.8という最高レベルの深刻度を持ち、すでに実際の攻撃が確認されていることから、対応の緊急性は極めて高いといえます。
この事例は、開発ツールやビルド環境もサプライチェーン攻撃のターゲットになりうることを改めて示しています。本番環境だけでなく、開発環境のセキュリティにも十分な注意を払い、使用しているパッケージを常に最新の状態に保つことが重要です。React Nativeを使用している開発チームは、直ちにパッケージのバージョンを確認し、必要な対策を講じてください。
📎 元記事: https://thehackernews.com/2026/02/hackers-exploit-metro4shell-rce-flaw-in.html
コメント