概要
Cisco Talosの調査により、脅威クラスター「UAT-10608」がCVSS 10.0(最大値)の評価を受けるNext.js脆弱性CVE-2025-55182を悪用した大規模な認証情報窃取キャンペーンを展開していることが明らかになった。攻撃者は少なくとも766ホストへの侵入に成功しており、クラウド環境・Kubernetes・Dockerなど幅広いインフラを標的としている。CVE-2025-55182はNext.jsのReact Server ComponentsおよびApp Routerに存在するリモートコード実行(RCE)の脆弱性で、公開されたNext.jsデプロイメントに対して初期侵入の糸口として悪用された。
攻撃手法:「NEXUS Listener」フレームワーク
侵入後、攻撃者は「NEXUS Listener」(現在バージョン3)と呼ばれる独自のデータ収集フレームワークを展開し、被害ホストから体系的に情報を抜き取る。窃取対象はSSH秘密鍵・シェルコマンド履歴・Kubernetes サービスアカウントトークン・Dockerコンテナ情報(イメージ・ポート・設定・マウントポイント)のほか、AWS・Google Cloud・AzureのAPIキーやIAMロール認証情報、さらにTelegramボットトークン・Webhookシークレット・データベース接続文字列・GitHub/GitLabトークンまで多岐にわたる。
研究者が認証なしでアクセス可能なNEXUS Listenerインスタンスを調査したところ、Stripe・OpenAI・Anthropic・NVIDIA・SendGridなどの著名サービスに紐づく認証情報が格納されていることも確認されている。攻撃者はShodan・Censysあるいはカスタムスキャナーでインターネット上の脆弱なNext.jsインスタンスを自動検出し、このフレームワークで被害者インフラの詳細マップを構築して、さらなる攻撃への足がかりとしていると見られる。
推奨される対策
Cisco Talosは以下の緩和策を推奨している。インフラへの最小権限の原則を徹底し、リポジトリ全体でシークレットスキャンを有効化すること、SSHキーペアの使い回しを避けること、AWS EC2ではIMDSv2を強制適用すること、そして侵害が疑われる場合は速やかに認証情報をローテーションすることが求められる。Next.jsを本番環境で運用している組織は、脆弱性のあるバージョンを使用していないか早急に確認し、パッチ適用済みバージョンへの移行を優先すべきだ。