【F5 Networks】重大なセキュリティインシデント

はじめに

2025年10月15日、F5社より「BIG-IP」シリーズを含む一部システムへ重大なセキュリティインシデントが発生した旨が緊急公開されました。
※本件の詳細や最新情報についても、このURLで随時更新される予定となっています。

発端は2025年8月、非常に洗練された国家レベルの脅威アクターが、「BIG-IP」シリーズの開発環境およびナレッジ管理プラットフォームを含む特定のシステムへ長期に渡ってアクセスを維持し、ファイルをダウンロードしていたことが判明しました。

インシデントの判明から期間が発生した経緯については、脅威アクターの封じ込めや影響範囲の確認、修正リリースなどの準備を完了するために、米国司法省の決定に基づき2025年10月15日まで公表を延期していたことが事由となっています。

このインシデントによって流出したファイルには、ソフトウェアのソースコードや当時対応中であった未公開の脆弱性が含まれていました。

さらに、ナレッジ管理プラットフォームから流出したファイルには、”ごく一部の”エンドユーザー様における設定や実装の情報が含まれており、該当するお客様にはF5社より直接のご連絡が行われる予定です。

今回の記事ではこのインシデントの概要と今後の対処について、公開されている情報をもとにお送りさせて頂きます。

インシデントの対象

このインシデントは、BIG-IPの全モデル（物理アプライアンス及び仮想版）で全てのモジュールとソフトウェアが対象であり、K8sベースのF5OSプラットフォームを搭載するrSeriesやVELOS Seriesも含まれます。

※NGINX、F5 Distributed Cloud Services、Silverline systemsへの影響は確認されていません。

対処方法

今回のインシデントに伴って公表された脆弱性への根本的な対処は、これが解消されたソフトウェアへのアップデートのみとなります。

また、ソースコードの流出はゼロデイ脆弱性や標的型攻撃のリスクを急激に高めるものであり、長期的な脅威への対処が必要となります。

F5社としての対応

F5社は脅威アクターを封じ込めるために広範な措置を講じており、対策の開始以降に新たな不正活動は確認されておらず、封じ込めは成功したと判断しています。また、現在までに公表されている情報では、対応中となっていた未公開の脆弱性が実際に悪用された兆候は確認されていません。

今回のインシデントを受けて、F5社では主要なサイバーセキュリティの専門組織や法的執行機関、政府やパートナーと連携しながら、顧客保護と企業環境、製品環境などのセキュリティ体制強化に向けた積極的な措置を実施中です。

この記事の執筆時点（2025年10月21日）で、以下のソフトウェアについて既知の脆弱性に対する修正バージョンが公開されており、F5社では可能な限り早く最新リリースへ更新することを推奨しています。

・APM clients

・BIG-IP

・F5OS

・BIG-IP Next for Kubernetes

・BIG-IQ

以下に主要な長期サポートリリース毎の状況を列挙します。

Major Release, Minor Release	Latest maintenance release	EoSD/EoTS
17.5.x	17.5.1.3	2029/1/1
17.1.x	17.1.3	2027/3/31
16.1.x	16.1.6	2025/7/31
15.1.x	15.1.10.8	2024/12/31

今回のインシデントについては、一部を除いて既にEoSD/EoTSを超過している16.1.xと15.1.xについても緊急リリースが提供されています。

Major Release, Minor Release	Latest maintenance release	EoSD/EoTS
1.8.x	1.8.2	2028/1/28
1.6.x	1.6.4	2026/10/11

Major Release, Minor Release	Latest maintenance release	EoSD/EoTS
1.8.x	1.8.3	2027/10/16
1.5.x	1.5.4	2026/8/31

公表されたインシデントの本質的な問題

米国CISAも本件に関して緊急指令（ED 26-01）を発令しています。

今回公表されたインシデントの意味するものは、攻撃者がソースコードを入手したことで論理的欠陥や未知の脆弱性を対象とした攻撃（ゼロデイ攻撃）を行うための技術的優位性を得たことです。

CISAが発令した緊急指定は連邦政府機関へ向けたものですが、これはすべての環境で行うべき最低限の行動指針と考えて頂ければと思います。

【最重要】管理インターフェースへのアクセスを信頼できるネットワークに限定する

F5社の製品に限らずあらゆる環境や機器に共通することですが、管理インターフェース（GUI/SSH/SNMP/Syslogなど）へのアクセスは信頼されたネットワークに限定することが原則です。

ごく稀に、構築作業や保守運用を行うためにパブリックネットワーク（インターネット）へ公開している環境をお見受けすることがありますが、これは絶対に避けるべき構成です。

意図せずともこのような状態となっていないか、早急なご確認と是正を実施頂くことを強く推奨いたします。

【緊急措置】早急な修正リリースの適用

今回のインシデント公表と併せて、F5社は既に40件を超える脆弱性や不具合を修正するアップデートをリリースしています。

これは単なる不具合の修正ではなく、「盗まれてしまった未公開の脆弱性」を悪用しようとする攻撃者に対して、ユーザー側が取り得る最低限の防御策であり、1日でも早ければ早いほど攻撃に対するリスクを低減することができます。

ご懇意の保守ベンダー様などへ、早急な実施をご依頼頂くことを強く推奨いたします。

※CISAでは2025年10月22日までに「F5OS、BIG-IP、BIG-IQ、BNK/CNF」への最新アップデートを適用し、2025年10月31日までにはその他全てのF5製品も最新アップデートとアセット強化のガイダンスを適用することを求めています。

【基本的な措置】サポートが終了した要素の廃止

今回のインシデントに限らず、サポートが終了した要素（EoSD/EoTS、EoVS、EoLなど）については、既知の脆弱性を含めたあらゆる修正などが原則として提供されません。このため、対外的に公開しているサービスでの利用は絶対に避けるべき要素となります。

今一度、ご利用の環境を構成するハードウェアとソフトウェアについて、全体の棚卸などを実施頂くことを推奨いたします。

【運用管理のガイドライン】ベストプラクティスの活用

F5社では、システムの強化に関するベストプラクティスを公開しており、F5 iHealth Diagnostic Toolには自動チェック機能が追加されました。このツールでは対処が不足する箇所を可視化して、対応策の優先順位と修正するためのガイダンスへのリンクが提供されます。

【運用管理のガイドライン】脅威インテリジェンスとイベント監視

F5社では、検知と監視を強化するためのThreat Hunting GuideをF5 Supportで提供しています。

また、SIEM統合によるイベント監視を併せて推奨しており、これに関するリモートSyslog設定によるログイン試行の監視に関する手順を公開しています。

・KB13080

・KB13426

これにより、管理者ログイン、認証失敗、権限と設定変更に関する可視性と通知を強化することができます。

まとめ

いかがだってしょうか。

今回のインシデントは非常にセキュリティリスクが高く、早急かつ継続的なな対応が必要な事案となっています。

既に当社へも更新作業や運用計画に関するご依頼頂いており、各エンドユーザー様がご利用頂いている要素のアップデートを開始しています。

また、今回のインシデントは単なる脆弱性の公表ではなく、ソフトウェアの根幹であるソースコードが流出してしまったことから、未知の脆弱性への攻撃（ゼロデイ攻撃）へのリスクが急激に高まった事案でもあります。

筆者としても、単純に既知の脆弱性が解消されたリリースへアップデートするのみでは不十分と捉えて、継続的な運用監視や脆弱性管理など、環境を運用することへの基本的な概念を見直す機会として頂きたいと思います。

繰り返しとなりますが、エンドユーザー様やご担当者様におかれましては、1日でも早い最新リリースへのアップデートを実施頂き、これからの対処へ向けた計画を進めて頂くことを、強く推奨いたします。

この記事が、ご覧いただいた皆様へ少しでもお役に立てば幸いです。

• ※この記事は筆者個人の見解によるものであり、各メーカー様や当社としての意見や見解を示すものではありません。
• ※この記事に含まれる情報については、その内容について当社として何らの保証をするものではありません。
• ※この記事に含まれる情報を利用したことに起因する、利用者又は第三者が被る直接的及び間接的損害に関して、当社はその責任を一切負いません。

• ← 前の記事に戻る
• 一覧に戻る