F5のセキュリティ インシデントに関するアドバイザリー

攻撃の詳細、リスクの修復方法、組織を保護する方法を学ぶには、F5の侵害に関するウェビナー(英語)にご登録ください。

概要

2025年10月15日、F5 Networksは国家支援型の脅威アクターによる深刻なセキュリティ侵害を公表しました。侵入者はF5の内部システム、具体的には「BIG-IP」の製品開発環境とエンジニアリング ナレッジ管理プラットフォームに長期にわたって継続的にアクセスしていました。F5は2025年8月9日に不正な活動を初めて検知しましたが、国家安全保障上の懸念から、米国司法省の指示により、10月中旬まで公表を延期していました。

この攻撃を受けて、サイバーセキュリティ インフラストラクチャー セキュリティ庁(CISA)は、米国連邦政府機関に対し、外部公開されたデバイスを特定し、パッチを適用するかインターネット接続を切断するよう緊急指令を発令しました。重要なITインフラおよびセキュリティ インフラに対する攻撃が継続的に増加している状況とあわせ、このガイダンスは、不要な外部公開の削減、きめ細かなマイクロセグメンテーションの実装、デフォルト拒否のアクセス制御ポリシーの維持といったゼロトラストの原則を採用することの重要性を浮き彫りにしています。

推定される脅威アクターとアトリビューション

F5は、攻撃者の特徴について「高度に洗練された国家支援型」の敵と表現しました。2025年10月15日、F5は顧客向けに、中国政府系ハッカーが使用するBRICKSTORMと呼ばれるマルウェアの詳細を解説した脅威ハンティング ガイドを配布しました。今回の攻撃を実行したと疑われるスパイ グループUNC5221は、このステルス性の高いマルウェアをバックドアとして展開し、持続的な活動を維持することで知られています。

UNC5221は、少なくとも2023年から活動しており、大手テクノロジー企業からソース コードを盗み、その製品内の悪用可能なバグを発見することを得意としています。BRICKSTORMバックドアは、(従来のEDRによる可視性が欠如しがちな)ネットワーク アプライアンス用に設計されたGoベースのマルウェアで、ステルス性の高いリモート アクセスのためにSOCKSプロキシをサポートしています。

この攻撃者の作戦は、サーバーやロード バランサーなどのデバイス上に長期的な足場を維持することを重視しており、被害組織のネットワークにおける平均滞留時間は1年を超えています。F5の場合、攻撃者は検出されるまで少なくとも12か月間ネットワークへのアクセスを維持していたと報告されています。初期アクセスのベクトルはまだ確認されていませんが、UNC5221は可能な場合、境界アプライアンスのゼロデイ脆弱性を悪用することが知られています。

侵害の詳細と盗まれたデータ

今回の侵害では、ソース コード、内部の脆弱性に関するドキュメント、顧客の構成などの情報が盗まれています。その規模から、一企業への侵入事案にとどまらない国家安全保障上の問題へと発展しており、CISAから直ちに緊急指令が発令されました。

この侵害は、F5のインフラの次の領域を標的としていました。

• BIG-IP開発環境：
  • 攻撃者は独自のソース コードの一部にアクセスし、これを持ち出しています。このソース コードには、企業や政府機関にとって重要なネットワーク インフラとして機能する、F5の主力製品ライン「BIG-IP」のコードも含まれます。
  • ソース コードを盗むと、攻撃者はそれを分析し、脆弱性やバックドアを仕掛ける隙を発見できるようになります。ただし、F5と独立監査機関(NCC GroupとIOActive)は、ソース コードの改変、悪意のあるコードの挿入、ビルド パイプラインの侵害は行われていないことを確認しています。
• エンジニアリング ナレッジ リポジトリー：
  • 攻撃者はF5の社内ナレッジ管理システムにもアクセスし、F5のエンジニアが調査中または修正中の未公表の脆弱性(ゼロデイ脆弱性)に関する内部文書を入手しました。これにより、攻撃者はF5製品に含まれる未公表のセキュリティ上の欠陥に関する仮想ロードマップを手に入れたことになります。
  • F5は情報開示時点で「未公開の重大な脆弱性やRCEの脆弱性が積極的に悪用されていることを示す情報はない」と強調しましたが、このデータを所有することは攻撃者に大きな優位性をもたらします。攻撃者はこれらの詳細情報により、パッチが適用されていない欠陥を悪用するエクスプロイト コードを迅速に開発し、ゼロデイ攻撃を加速させることが可能です。
• 顧客の構成データ：
  • 顧客固有のデータの一部も盗まれました。ナレッジ プラットフォームから抽出されたファイルには、特定の顧客のネットワーク トポロジー、デバイス構成、展開の詳細などが含まれていました。F5は侵害されたファイルを確認した後、影響を受けた顧客に直接通知しています。

アクセスされなかったシステム：F5の調査では、カスタマー サポート システム、CRMデータベース、財務記録、iHealth診断、NGINX製品コード、F5 Cloud/Silverlineサービスなど、他の企業システムへの不正アクセスの証拠は確認されませんでした。今回のインシデントの範囲はBIG-IPのエンジニアリング環境に限定されていると見られます。

脆弱性と攻撃ベクトル

F5は現在までに、攻撃者によって悪用されたゼロデイ脆弱性や共通脆弱性識別子(CVE)、その他の侵入方法を一切公表していません。同社は、初期アクセスのベクトルとして製品の脆弱性が悪用された証拠はないと報告しています。

同時に発表された脆弱性修正パッチ：インシデントの開示とあわせて、F5は2025年10月期の四半期セキュリティ通知を公開し、複数の製品にわたる44件の新たな脆弱性を修正しました(前四半期はわずか6件)。パッチの詳細についての情報は限定的ですが、これらの修正の一部は、侵害されたデータ内で言及されていた問題に対処していると推察されます。

10月のパッチで注目すべきCVEは次のとおりです。

• CVE‑2025‑53868 (CVSS 8.7): BIG-IPのSCP/SFTP認証バイパスの脆弱性(v15.x～17.xに影響)。システムへの不正アクセスに悪用される可能性があります。
• CVE-2025-61955とCVE-2025-57780 (いずれもCVSS 8.8): F5のF5OS-AとF5OS-C (アプライアンス モードと標準モード)における権限昇格の脆弱性。認証されたユーザーは「アプライアンス モード」の制限を回避し、ルート権限を取得できる可能性があります。これにより、基盤OSにアクセスされるおそれがあります。
• CVE‑2025‑60016 (CVSS 8.7):暗号化されたトラフィックのメタデータの漏洩を引き起こす可能性がある、BIG-IP SSL/TLS実装の脆弱性。これはBIG-IP v17.1.2以降で修正されました。この「TLSメタデータ漏洩」の問題は、CISA指令に記載されている「Cookie漏洩」のリスクに相当する可能性があります。Cookie漏洩とは、セッション情報や暗号化情報が攻撃者に収集されることを指し、これによって特定の条件下でセッション ハイジャックやトラフィックの復号が可能になるおそれがあります。
• CVE‑2025‑48008 (CVSS 8.7): BIG-IPのMPTCP (MultiPath TCP)処理における脆弱性。サービス拒否(Traffic Management Microkernelのクラッシュ)が発生する可能性があります。v17.1.2.2、16.1.6、15.1.10.8で修正済みです。DoS攻撃は侵入を直接支援するものではありませんが、他の攻撃と組み合わせたり、システムを妨害したりするために用いられます。
• CVE-2025-61974 (CVSS 8.7):複数の製品ファミリーにまたがるBIG-IPのSSL/TLSの問題。v17.5.1.3および同等バージョンで解決されています。詳細は不明ですが、暗号処理に関係する問題で、緊急の修正が必要であったと考えられます。

実環境での悪用：開示時点では、F5も業界関係者もこれらの脆弱性の実際の悪用を報告していません。しかし、CISAは、盗まれたコードや脆弱性の詳細情報が「差し迫った脅威」になると警告しており、攻撃者はこれらの情報を悪用して、短期間でエクスプロイト コードを開発する可能性があるとしています。

推奨される対応

1. ハードウェア、ソフトウェア、仮想アプライアンスを含むすべてのF5リソースを特定する
2. 管理インターフェイスをインターネットから隔離し、検出された露出を調査する
3. すべてのデフォルトの認証情報を変更する
4. F5の強化ガイドラインに従い、最新のセキュリティ アップデートを実装する
5. サポート ライフサイクルが終了した非推奨製品をリプレースする
6. ネットワークとシステムのログを継続的に監視し、不正なアクティビティーがないか確認する
   

ベスト プラクティス

CISAの指示に従う

影響を最小限に抑えるには、F5デバイスの脆弱性を軽減するためのCISAの緊急指令をタイムリーに順守することが重要です。

ゼロトラスト アーキテクチャーを実装する

真のゼロトラスト アーキテクチャーを実装することで、攻撃対象領域を削減し、悪意のあるトラフィックをブロック、隔離することは、重要な基本ステップです。ユーザーをアプリケーションと同じネットワークに接続するのではなく、ユーザーとアプリケーション間のセグメンテーションを優先することで、ラテラル ムーブメントが抑制され、攻撃者が重要なアプリケーションに到達できないようにします。

組織の環境を保護するための予防的な対策

F5に影響を与えた最近のセキュリティ侵害を考慮すると、潜在的な悪用のリスクから組織を守るには、次のようなベスト プラクティスを採用する必要があります。

• 攻撃対象領域の最小化：ゼロトラスト アクセス ブローカーを使用してアプリケーション(および脆弱なデバイス)をインターネットから非公開にし、攻撃者が初期アクセスを取得できないようにします。
• 初期侵入の防止：すべてのトラフィックをインラインで検査し、ゼロデイ エクスプロイト、マルウェア、その他の高度な脅威を自動的に阻止します。
• 最小特権アクセスの施行：アイデンティティーとコンテキストを使用してユーザー、トラフィック、システム、アプリケーションへのアクセスを制限し、許可されたユーザーのみが指定のリソースにアクセスできるようにします。
• ラテラル ムーブメントの排除：ユーザーをネットワークではなくアプリに直接接続して、潜在的なインシデントの影響範囲を制限します。
• 侵害されたユーザーと内部脅威の検知：インライン検査と監視を有効にして、ネットワーク、プライベート アプリケーション、データにアクセスする侵害されたユーザーを検知します。
• 最新のパッチおよびアップデートの適用：システムとアプリケーションのセキュリティを最新の状態に保ちます。特にインターネットに公開されている場合は注意が必要です。
• 情報漏洩の阻止：攻撃中のデータの持ち出しを阻止するために、転送中データと保存データを検査します。
• アクティブ ディフェンスの導入：デコイを活用するデセプション テクノロジーを駆使して脅威ハンティングを毎日実行し、攻撃者をリアルタイムであぶり出します。
• セキュリティ文化の構築：多くの侵害は、フィッシング攻撃によって不正侵入された1つのユーザー アカウントから始まります。定期的なサイバーセキュリティ意識向上トレーニングを優先することで、このリスクを軽減し、従業員を侵害から守ることができます。

セキュリティ態勢の確認：サードパーティーによる定期的なリスク評価やパープル チームの活動を実施して、セキュリティ プログラムのギャップを特定、強化します。サービス プロバイダーやテクノロジー パートナーにも同様の措置を講じ、これらのレポートをセキュリティ部門と共有させることが重要です。

まとめ

F5のセキュリティ侵害は、基盤となるITインフラを標的とする高度な攻撃者によるリスクの進化を浮き彫りにしています。組織においては、上記で推奨した軽減策を迅速に行動に移し、包括的なゼロトラスト戦略を導入して、露出を最小化することが重要です。F5デバイスは世界中の企業や政府機関に展開されているため、今回のインシデントは広範囲にわたる悪用の可能性を示しています。露出した脆弱性が悪用されることを防ぐには、パッチ適用とシステムの強化を優先する必要があります。

攻撃の詳細、リスクの修復方法、組織を保護する方法を学ぶには、F5の侵害に関するウェビナー(英語)にご登録ください。