はじめに
エンタープライズテクノロジーベンダーであるF5のシステムが、国家支援ハッカーによって侵害され、顧客データが窃取されたことが明らかになりました。この事件を受け、米国政府は、連邦機関がハッキングの被害に遭っていないか緊急に調査を進めています。
F5システムへの国家支援ハッカーによる侵入
F5は水曜日、「高度に洗練された国家支援の脅威アクター」が同社の生産環境およびエンジニアリングリソースポータルに侵入したと発表しました。攻撃者は、同社の「エンジニアリング知識管理プラットフォーム」と、主力製品であるBIG-IPプラットフォームの開発プラットフォームに侵入し、一部のファイルを窃取しました。F5は8月に攻撃を発見しましたが、侵入がいつ始まったかについては明らかにしていません。
盗まれた情報とその影響
窃取されたファイルには、「BIG-IPのソースコードと、F5が対応中であった未公開の脆弱性に関する情報」が含まれていました。F5は、これらの脆弱性が重大な欠陥やリモートコード実行を伴うものではないと述べており、現時点では未公開のF5脆弱性の「積極的な悪用」は確認されていないとしています。しかし、知識管理プラットフォームから盗まれたファイルには、「ごく一部の顧客がF5製品をどのように設定していたかに関する情報」も含まれており、これがハッカーによる将来の攻撃計画に利用される可能性が指摘されています。ハッカーはF5のシステムに対し、「長期間にわたる永続的なアクセス」を保持していました。
米国政府の対応とCISAの指令
米国政府は、F5製品の侵害によって連邦機関が影響を受けていないか緊急に確認を進めています。サイバーセキュリティ・インフラセキュリティ庁(CISA)は水曜日、連邦政府機関に対し、以下の緊急指令を発令しました。
- 影響を受けるすべてのデバイスを直ちに特定すること。
- 特定の製品の管理インターフェースを公開インターネットから削除すること。
- F5のセキュリティアップデートを適用すること。
機関は、ほとんどの対象製品を10月22日までに、残りを10月31日までにパッチ適用する必要があります。また、CISAは、ミッションクリティカルなニーズがある場合を除き、耐用年数を過ぎたデバイスをすべて切断するよう命じました。CISAのサイバーセキュリティ担当エグゼクティブアシスタントディレクターであるニック・アンダーセン氏は、現時点では政府機関の侵害は確認されていないと述べ、F5を侵害した国家支援アクターの特定は拒否しました。
SolarWinds事件との比較
今回の事件は、ロシアの工作員がITソフトウェアベンダーのSolarWindsに侵入し、そのコードを改ざんしたSolarWindsスパイ活動と比較されています。F5製品の脆弱性を悪用することで、ハッカーは侵害された組織のネットワークを横断し、永続的なアクセスを確立し、パスワードやAPIキーを含む機密データを窃取する可能性があります。F5は、「ソースコードやビルドおよびリリースパイプラインを含む、ソフトウェアサプライチェーンの改ざんの証拠はない」と述べ、2つの独立した監査によってこの結果が確認されたと主張しています。
F5の声明と今後の懸念
F5はソフトウェアサプライチェーンの改ざんの証拠がないことを強調していますが、アンダーセン氏は、F5の政府および民間セクターの顧客に対する「下流への影響」が非常に懸念されると述べています。彼は、これが「サプライチェーンに影響を与えるより広範な戦略的キャンペーンの一部」であると指摘しました。連邦政府全体には数千のF5製品が導入されています。CISAは、政府機関の閉鎖と主要な情報共有法の期限切れが、今回のF5の状況に対処する能力を妨げていないと説明しています。
元記事: https://www.cybersecuritydive.com/news/f5-supply-chain-breach-nation-state-cisa/802887/