F5は2025年10月15日(米国時間)、国家関与が疑われる脅威アクターによる侵害を公表しました。
関連:CISAがF5/BIG-IP 製品の即時点検と更新を米連邦機関に命令
概要
2025年8月9日に初めて侵害を認識。継続調査の結果、BIG-IPの製品開発環境とエンジニアリング向けナレッジ基盤に長期・持続的アクセスがあり、一部ファイル(BIG-IPのソースコードの一部、未公開の脆弱性に関する情報を含む)が持ち出しされたことを確認しています。
一方で、ビルド/リリースを含むソフトウェア・サプライチェーンの改ざん痕跡はなし(第三者の独立検証で再確認)とし、未公開でクリティカル/RCE級の脆弱性は把握していない、観測されていないと説明しています。
なお、具体的な国や脅威アクターの名称は公表されていません
対象製品
今回のインシデントを受けてCISAの勧告では以下の製品に対してのパッチやアップデート対応が推奨されています
- ハードウェア:BIG-IP iSeries、rSeries、サポート終了(EoS)に到達した全 F5 デバイス
- ソフトウェア:BIG-IP(F5OS/TMOS/VE)、BIG-IP Next、BIG-IQ、BIG-IP Next for Kubernetes(BNK)/CNF
-
今すぐできる対策
とにかくEOL製品は更新し最新のソフトウェアへのアップデートを推奨します。
ダークウェブ上で窃取された未公開脆弱性の情報が広まり、標的型攻撃やサイバー攻撃へ悪用される可能性があります。
影響範囲の整理
-
顧客情報系:CRM/経理/サポート/iHealthからのアクセス・持ち出しの証拠はなし。ただし、ナレッジ基盤由来の一部ファイルに一部顧客の構成・実装情報が含まれていた可能性があり、該当顧客へ個別連絡予定。
-
プロダクト別:NGINX、Distributed Cloud、Silverlineのアクセス・改ざん痕跡なし。
-
サプライチェーン:ソースコード/ビルド/リリース・パイプラインの改ざんなし(NCC Group、IOActiveの鑑定レターで裏付け)。
-
攻撃の新規活動:封じ込め開始後、新たな不正活動は観測されず。法執行機関と連携を継続。
タイムライン
-
8月9日:F5が不正アクセスを認識、IRを発動。
-
9月12日:米司法省の判断により、適時開示の一時遅延が承認。
-
10月15日:SEC Form 8-Kで公表/MyF5に詳細を掲載。
-
ガバナンス:10月9日、取締役のMichael Montoya氏が取締役辞任(会社方針との対立ではない)。
10月13日付でCTOOに就任、全社の“セキュリティ・バイ・デザイン”運用を統括。
NCSC(英国)による注意喚起の要旨
NCSCはF5の更新適用とベンダーガイダンス順守を勧告。攻撃者は持ち出したコードや情報を静的/動的解析して脆弱性探索・悪用コード開発に用いる可能性があるため、F5機器の迅速なアップデート、可視化・監視強化、EoS機器の置換を優先事項としています。
影響対象はBIG-IP(TMOS/F5OS/VE/Next/BNK/CNF)、BIG-IQ、iSeries/rSeries等。管理インタフェースのインターネット公開禁止、露出があれば侵害評価を実施するよう求めています。
関連記事
CISAがF5/BIG-IP 製品の即時点検と更新を米連邦機関に命令
AWSとGoogle CloudのCLIツールで情報漏洩の脆弱性 LeakyCLIが発生
F5のBIG-IP Next Central Managerで脆弱性 デバイス乗っ取りが可能に(CVE-2024-26026、CVE-2024-21793)
Next.jsが危険度の高い脆弱性を修正 早期適用を(CVE-2025-29927)
サイバー攻撃やランサムウェアによる被害を受けた際の社内・社外対応の流れ
Next.jsの脆弱性(CVE-2024-46982)で偽サイトへ誘導が可能に
Next.jsにキャッシュポイズニング脆弱性(CVE-2025-49826)
Kubernetes Image Builderで危険度の高い脆弱性(CVE-2024-9486,CVE-2024-9594)
ChromeとEdgeの拡張機能を悪用した巧妙なサイバー攻撃 キャンペーンに注意
