F5へのサイバー攻撃と情報漏洩の概要
米国のサイバーセキュリティ企業F5は、国家支援型ハッカーが同社のシステムに侵入し、未公開のBIG-IPセキュリティ脆弱性およびソースコードを盗み出したことを明らかにしました。同社は2025年8月9日にこの侵害を認識し、調査の結果、攻撃者が同社のBIG-IP製品開発環境およびエンジニアリング知識管理プラットフォームを含むシステムに長期にわたるアクセスをしていたことが判明しました。
F5は、サイバーセキュリティ、クラウド管理、アプリケーション配信ネットワーキング(ADN)アプリケーションを専門とするFortune 500企業であり、170カ国に23,000の顧客を抱え、Fortune 50企業の48社がその製品を使用しています。BIG-IPは、世界中の多くの大企業でアプリケーション配信とトラフィック管理に使用されている同社の主力製品です。
侵害の詳細と影響範囲
攻撃者がどのくらいの期間アクセスを維持していたかは不明ですが、同社はソースコード、脆弱性データ、および限られた数の顧客の構成および実装詳細が盗まれたことを確認しました。F5は、「このアクセスを通じて、特定のファイルが持ち出され、その中には同社のBIG-IPソースコードの一部と、BIG-IPで取り組んでいた未公開の脆弱性に関する情報が含まれていました」と述べています。
この未公開の脆弱性の重大な漏洩にもかかわらず、F5は、攻撃者がこの情報を実際の攻撃に利用した証拠、例えばシステムに対する未公開の脆弱性を悪用した証拠はないと述べています。また、この機密情報が公開された証拠も確認されていないとのことです。
F5は、脅威アクターによるBIG-IP環境へのアクセスが、同社のソフトウェアサプライチェーンを侵害したり、疑わしいコード変更を引き起こしたりした証拠はないと主張しています。これには、CRM、財務、サポートケース管理、iHealthシステムなど、顧客データを含むプラットフォームも含まれます。さらに、NGINX、F5 Distributed Cloud Services、Silverlineシステムなど、同社が管理する他の製品やプラットフォームのソースコードも侵害されていません。
F5の対応とセキュリティ強化策
侵入を発見した後、F5はシステムへのアクセスを強化し、全体的な脅威監視、検出、対応能力を向上させることで、修復措置を講じました。
- システム全体の認証情報をローテーションし、アクセス制御を強化しました。
- 改善されたインベントリおよびパッチ管理の自動化、ならびに脅威をより適切に監視、検出、対応するための追加ツールを展開しました。
- ネットワークセキュリティアーキテクチャの強化を実施しました。
- すべてのソフトウェア開発プラットフォームのセキュリティ制御と監視を強化するなど、製品開発環境を強化しました。
さらに、同社はNCC GroupとIOActiveの支援を受けて、ソースコードレビューとセキュリティ評価を通じて製品のセキュリティにも注力しています。NCC Groupの評価は、BIG-IPの重要なソフトウェアコンポーネントと開発パイプラインの一部に対するセキュリティレビューをカバーし、76人のコンサルタントが関与しました。IOActiveの専門知識はセキュリティ侵害後に依頼され、現在も継続中です。これまでの結果では、脅威アクターがF5の重要なソフトウェアソースコードやソフトウェア開発ビルドパイプラインに脆弱性を導入した証拠は確認されていません。
顧客への推奨事項と対策
F5は、どの顧客の構成または実装詳細が盗まれたかを現在も確認しており、該当する顧客にはガイダンスを提供するために連絡を取る予定です。この侵害に起因するリスクからF5環境を保護するために、同社はBIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ、およびAPMクライアントのアップデートをリリースしました。
「未公開の重大な脆弱性やリモートコード実行の脆弱性の証拠」がないにもかかわらず、同社は顧客に対し、新しいBIG-IPソフトウェアアップデートのインストールを優先するよう強く求めています。さらに、F5サポートは、顧客が自社の環境での検出と監視を改善するための脅威ハンティングガイドを提供しています。
F5システムの強化に関する新しいベストプラクティスには、F5 iHealth Diagnostic Toolへの自動チェックが含まれるようになり、セキュリティリスク、脆弱性を特定し、アクションの優先順位付けと修復ガイダンスを提供できるようになりました。もう1つの推奨事項は、BIG-IPイベントストリーミングをSIEMに有効にし、システムをリモートsyslogサーバーにログを記録するように構成し、ログイン試行を監視することです。
「当社のグローバルサポートチームが支援いたします。MyF5サポートケースを開くか、F5サポートに直接連絡して、BIG-IPソフトウェアの更新、これらの手順のいずれかの実装、またはご質問への対応について支援を受けることができます」とF5は付け加えています。
同社は、CrowdStrikeやMandiantを含む主要なサイバーセキュリティ企業による複数の独立したレビューを通じて、BIG-IPリリースの安全性を検証したと述べています。F5顧客への追加ガイダンスは、英国の国家サイバーセキュリティセンター(NCSC)と米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)からも提供されています。両機関は、すべてのF5製品(ハードウェア、ソフトウェア、仮想化)を特定し、管理インターフェースが公開ウェブに露出していないことを確認することを推奨しています。露出したインターフェースが発見された場合、企業は侵害評価を行うべきです。
情報公開の遅延と今後の見通し
F5は、米国政府の要請により、重要なシステムを保護するための十分な時間を確保するため、事件の公開を遅らせたことを指摘しています。「2025年9月12日、米国司法省は、Form 8-Kの項目1.05(c)に従い、公開の遅延が正当であると判断しました。F5は現在、この報告書を適時に提出しています」とF5は説明しています。
F5は、この事件が同社の事業に重大な影響を与えないと述べています。最新の入手可能な証拠に基づき、すべてのサービスは引き続き利用可能であり、安全であると見なされています。