米サイバーセキュリティ企業F5は、国家レベルのハッカーが同社のシステムに侵入し、未公表のBIG-IPセキュリティの脆弱性とソースコードを盗んだことを明らかにした。
同社は2025年8月9日に初めて情報漏洩に気付いたとしており、調査の結果、攻撃者は同社のBIG-IP製品開発環境やエンジニアリング知識管理プラットフォームを含む同社のシステムに長期的にアクセスしていたことが判明した。
F5は、サイバーセキュリティ、クラウド管理、アプリケーション・デリバリ・ネットワーキング(ADN)アプリケーションに特化したフォーチュン500に名を連ねるハイテク大手企業である。世界170カ国に23,000社の顧客を持ち、フォーチュン50社のうち48社が同社の製品を使用している。
BIG-IPは同社の主力製品で、世界中の多くの大企業でアプリケーション・デリバリーとトラフィック管理に使用されている。
サプライチェーンのリスクはない
ハッカーがどれくらいの期間アクセスを維持したかは不明だが、同社は、ソースコード、脆弱性データ、および限られた数の顧客の設定と実装の詳細を盗んだことを確認した。
「このアクセスを通じて、特定のファイルが流出し、その一部には当社のBIG-IPソースコードの特定の部分と、BIG-IPで取り組んでいた未公開の脆弱性に関する情報が含まれていました」と同社は述べています。
このように未公開の欠陥が重大な形で暴露されたにもかかわらず、F5によれば、攻撃者がシステムに対して未公開の欠陥を悪用するなど、実際の攻撃に情報を活用した証拠はないという。また、個人情報が開示されたという証拠も確認されていないとしている。
F5は、脅威行為者がBIG-IP環境にアクセスしたことによって、同社のソフトウェア・サプライチェーンが危険にさらされたり、不審なコードが修正されたりしたことはないと主張しています。
これには、CRM、財務、サポート・ケース管理、iHealthシステムなど、顧客データを含むプラットフォームが含まれます。さらに、NGINX、F5 Distributed Cloud Services、Silverlineシステムのソースコードなど、同社が管理する他の製品やプラットフォームも侵害されていません。
侵害への対応
侵入を発見した後、F5 はシステムへのアクセスを厳格化し、全体的な脅威の監視、検出、および対応能力を向上させることで、是正措置を講じました:
- 認証情報をローテーションし、システム全体のアクセス制御を強化しました。
- インベントリおよびパッチ管理の自動化を改善し、脅威をより適切に監視、検出、対応するためのツールを追加しました。
- ネットワークセキュリティアーキテクチャの強化を実施。
- すべてのソフトウェア開発プラットフォームのセキュリティ管理と監視を強化するなど、製品開発環境を強化した。
さらに、NCC GroupとIOActiveの支援によるソースコードレビューとセキュリティ評価を通じて、製品のセキュリティにも注力している。
NCC Group の評価では、BIG-IP の重要なソフトウェア・コンポーネントと開発パイプラインの一部のセキュリティ・レビューが行われ、76 人のコンサルタントが参加しました。
IOActiveの専門知識は、セキュリティ侵害の後に導入され、現在も進行中です。これまでのところ、脅威行為者が重要な F5 ソフトウェアのソース・コードやソフトウェア開発のビルド・パイプラインに脆弱性を導入した形跡はありません。
お客様は対策を講じる必要があります
F5では、設定または実装の詳細が盗まれたお客様を確認中であり、ガイダンスをご連絡する予定です。
今回の侵害に起因するリスクからF5環境を保護するため、同社はBIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ、およびAPMクライアント向けのアップデートをリリースした。
公表されていない重大な脆弱性またはリモート・コード実行の脆弱性」の証拠があるにもかかわらず、同社は顧客に対し、新しいBIG-IPソフトウェア・アップデートを優先的にインストールするよう促している。
F5は、本日のアップデートが、盗まれた未公開の脆弱性に起因する潜在的な影響に対処していることを確認した。
さらに、F5のサポートは、顧客の環境における検出と監視を改善するための脅威ハンティングガイドを提供している。
F5システムを強化するための新しいベストプラクティスには、F5 iHealth診断ツールへの自動チェックが含まれるようになり、セキュリティリスク、脆弱性にフラグを立て、対処の優先順位を付け、修復ガイダンスを提供できるようになりました。
もう 1 つの推奨事項は、SIEM への BIG-IP イベント・ストリーミングを有効にし、リモート syslog サーバにログを記録し、ログイン試行を監視するようにシステムを構成することです。
「当社のグローバル・サポート・チームがサポートします。BIG-IPソフトウェアのアップデート、これらのステップの実施、またはご質問については、MyF5サポートケースを開くか、F5サポートに直接お問い合わせください。
同社はまた、CrowdStrikeやMandiantを含む主要なサイバーセキュリティ企業による複数の独立したレビューを通じて、BIG-IPリリースの安全性を検証したと付け加えた。
F5は月曜日、デジタル製品の署名に使用する暗号証明書と鍵をローテーションしたと発表した。この変更は、ISOイメージ署名検証を有効にしている間のBIG-IPおよびBIG-IQ TMOSソフトウェア・イメージのインストール、およびF5OSを実行しているホスト・システムへのBIG-IP F5OSテナント・イメージのインストールに影響します。
英国の National Cyber Security Centre(NCSC)および米国の Cybersecurity and Infrastructure Security Agency(CISA)から、F5 ユーザ向けの追加ガイダンスが発表されています。
両機関は、すべてのF5製品(ハードウェア、ソフトウェア、仮想化)を特定し、管理インターフェイスが公共のウェブ上に公開されていないことを確認することを推奨しています。公開されているインターフェイスが発見された場合、企業は妥協評価を行う必要がある。
F5は、米国政府の要請により、インシデントの公表を遅らせたが、これはおそらく重要なシステムを保護するための十分な時間を確保するためであると述べている。
「2025年9月12日、米国司法省は、Form 8-KのItem 1.05(c)に従い、公開の延期が正当であると判断しました。F5は現在、この報告書を適時に提出しています」とF5は説明しています。
F5では、今回の事故は同社の業務に重大な影響はないとしている。すべてのサービスは引き続き利用可能であり、利用可能な最新の証拠に基づいて安全であると考えられます。
このインシデントについてより詳細な情報を得るため、F5社に問い合わせたところ、回答があり次第、この記事を更新するとのことです。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
今年のセキュリティ検証イベントPicus BASサミット
Breach and Attack Simulation Summitに参加して、セキュリティ検証の未来を体験してください。一流の専門家から話を聞き、AIを搭載したBASが侵害と攻撃のシミュレーションをどのように変革するかをご覧ください。
セキュリティ戦略の未来を形作るイベントをお見逃しなく。
Comments