F5は2025年10月15日(米国時間)、国家関与が疑われる脅威アクターによる侵害を公表しました。米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2025年10月15日付で緊急指令 ED 26-01を発出し、連邦民間行政機関に対して F5/BIG-IP 製品の棚卸し、管理インターフェース露出の是正、最新更新の適用を期限付きで実施するよう命じました。
目次
対象と範囲
連邦民間行政機関の各機関(法定の国家安全保障システムなどは除外)、外部委託・クラウド(FedRAMP 有無を問わず)で運用される情報システムも機関の責任で遵守。
対象製品
-
-
ハードウェア:BIG-IP iSeries、rSeries、サポート終了(EoS)に到達した全 F5 デバイス
-
ソフトウェア:BIG-IP(F5OS/TMOS/VE)、BIG-IP Next、BIG-IQ、BIG-IP Next for Kubernetes(BNK)/CNF
-
命令の内容
インベントリの作成(即時)
-
すべての BIG-IP ハードウェアと、F5OS/TMOS/VE、BIG-IP Next、BIG-IQ、BNK/CNF の全インスタンスを特定します。
パブリック露出の是正(即時)
-
すべての外部公開 BIG-IP(物理・仮想)について、ネットワーク管理インターフェースがインターネットに直接露出していないか確認。露出が判明したものは、BOD 23-02(管理インターフェースのリスク低減)に従って遮断・制限し、CISAへ報告します。
ベンダー更新の適用(10月22日(米東部)まで)
-
F5OS / BIG-IP TMOS / BIG-IQ / BNK/CNF:最新アップデートを適用。BNK/CNFは適用前に提供イメージの MD5 チェックサム検証を実施。
-
例外:管理インターフェースを専用の管理ネットワークに隔離し、ジャンプボックス経由のみにしている場合は、報告のうえ機関の通常サイクルで更新可。
その他の F5 デバイス更新(10月31日(米東部)まで)
-
上記以外の F5 仮想・物理デバイスは最新パッチ適用とF5 のハードニング手順の実装を完了。以後、ベンダー公開から1週間以内に更新を継続します。
EoS(サポート終了)デバイスの切り離し(即時)
-
外部公開かつ EoS 到達の F5 デバイスは直ちに切断・廃止。やむを得ない場合は CISAへ、
-
業務継続上の理由、2) 廃止計画 を報告します。
-
Cookie 漏えい対策(通知ベース)
-
CISA から BIG-IP の Cookie 漏えいに関する通知を受けた場合は、指示された緩和策に従います。








