CISAがF5/BIG-IP 製品の即時点検と更新を米連邦機関に命令

セキュリティニュース

投稿日時: 更新日時:

CISAがF5/BIG-IP 製品の即時点検と更新を米連邦機関に命令

F5は2025年10月15日(米国時間)、国家関与が疑われる脅威アクターによる侵害を公表しました。米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2025年10月15日付で緊急指令 ED 26-01を発出し、連邦民間行政機関に対して F5/BIG-IP 製品の棚卸し、管理インターフェース露出の是正、最新更新の適用を期限付きで実施するよう命じました。

対象と範囲

連邦民間行政機関の各機関(法定の国家安全保障システムなどは除外)、外部委託・クラウド(FedRAMP 有無を問わず)で運用される情報システムも機関の責任で遵守

対象製品

    • ハードウェアBIG-IP iSeries、rSeries、サポート終了(EoS)に到達した全 F5 デバイス

    • ソフトウェアBIG-IP(F5OS/TMOS/VE)BIG-IP NextBIG-IQBIG-IP Next for Kubernetes(BNK)/CNF

命令の内容

インベントリの作成(即時)

  • すべての BIG-IP ハードウェアと、F5OS/TMOS/VE、BIG-IP Next、BIG-IQ、BNK/CNF の全インスタンスを特定します。

パブリック露出の是正(即時)

  • すべての外部公開 BIG-IP(物理・仮想)について、ネットワーク管理インターフェースがインターネットに直接露出していないか確認。露出が判明したものは、BOD 23-02(管理インターフェースのリスク低減)に従って遮断・制限し、CISAへ報告します。

ベンダー更新の適用(10月22日(米東部)まで

  • F5OS / BIG-IP TMOS / BIG-IQ / BNK/CNF最新アップデートを適用BNK/CNFは適用前に提供イメージの MD5 チェックサム検証を実施。

  • 例外:管理インターフェースを専用の管理ネットワークに隔離し、ジャンプボックス経由のみにしている場合は、報告のうえ機関の通常サイクルで更新可。

その他の F5 デバイス更新(10月31日(米東部)まで

  • 上記以外の F5 仮想・物理デバイスは最新パッチ適用とF5 のハードニング手順の実装を完了。以後、ベンダー公開から1週間以内に更新を継続します。

EoS(サポート終了)デバイスの切り離し(即時)

  • 外部公開かつ EoS 到達の F5 デバイスは直ちに切断・廃止。やむを得ない場合は CISAへ、

    1. 業務継続上の理由、2) 廃止計画 を報告します。

Cookie 漏えい対策(通知ベース)

  • CISA から BIG-IP の Cookie 漏えいに関する通知を受けた場合は、指示された緩和策に従います。