今回は弊社一部案件でも利用している、F5, Inc.（F5）およびその製品群である “BIG-IP” を巡る一連のサイバー攻撃・侵害インシデントについて、Cybersecurity and Infrastructure Security Agency（CISA）による公開情報と U.S. Securities and Exchange Commission（SEC）への報告資料、FedRAMPによる公開情報、F5社による公開情報に基づき、整理しました（2025年10月時点）。企業でセキュリティ運用を担当されている皆様向けに、運用的な観点から押さえておきたいポイントもまとめておりますので、ぜひご活用ください。

発覚・公表のタイミングと背景

2025年8月9日、F5社は「高度に洗練された国家レベルの攻撃者が不正アクセスを行った」として、同年10月15日のSECへの報告書で開示しています。

同年9月12日、米国司法省（DOJ）が国家安全保障上の判断により開示を遅らせる判断をしました。

同年10月15日、CISAはEmergency Directive 26-01：Mitigate Vulnerabilities in F5 Devicesを発出し、連邦民間行政機関（FCEB：Federal Civilian Executive Branch）に対して、F5製品の棚卸し・更新を即時に実施するよう命じています。

インシデント内容の主なポイント

影響対象

ED 26-01では、影響対象として次の製品群が明示されています。ハードウェア製品/ソフトウェア製品問わず、BIG-IP関連の製品が多数、影響対象となっています。

ハードウェア製品

• BIG-IP iSeries
• BIG-IP rSeries
• そのほかサポート終了状態の機器

ソフトウェア製品

• BIG-IP (F5OS)
• BIG-IP (TMOS)
• Virtual Edition (VE)
• BIG-IP Next
• BIG-IQ
• BIG-IP Next for Kubernetes (BNK)/Cloud-Native Network Functions (CNF)

脅威情報

• 攻撃者がBIG-IPの製品開発環境やエンジニア向けのナレッジベースに対する、長期的なアクセスが行われたことを確認しました。
• 攻撃者によるアクセスを通じて「BIG-IPの一部ソースコード」「未公表の脆弱性情報」及び「一部の顧客に関する構成・実装情報」が窃取された可能性があるとしています。
• 未公表の重大な脆弱性やリモートコード実行の脆弱性及び、悪用されている事例は現時点で確認できていないとしております。

本インシデントに対する対策について

ソースコードおよび未公表脆弱性情報が流出したことで、攻撃者は解析を行い、ゼロデイ攻撃に向けた準備を行う可能性が高いと考えられています。そのため運用者に対して早急な対応が求められています。

本インシデントに対する実施すべきアクションについて

F5社による公開情報及びCISAによる公開情報に基づくと、本インシデントに対して、セキュリティ運用者には以下の対応が求められております。

1. 関連機器の特定

• 全てのBIG-IPハードウェア製品を特定すること。
• 全てのBIG-IPソフトウェア製品を稼働させている機器を特定すること。

2. ネットワーク接続状況の確認

• 関連機器の特定完了後、対象デバイスがインターネット（公開ネットワーク）に接続されているかを確認をすること

3. 対象製品へのパッチ適用

• サポート終了機器（EOS）や旧バージョンの機器は、可能な限り廃止または代替検討を行うこと。
• 影響対象となるF5製品に対して、F5社が提供する最新バージョンへのアップデートを行うこと。

4. サイバー攻撃に対する検知に向けた備え

• Threat Intelligenceの強化を行うこと
• 認証システムの強化を行うこと
• SIEMへの統合と監視運用の強化を行うこと

まとめ

このF5／BIG-IPを巡るインシデントは、単なる製品の脆弱性対応を超えて、「ネットワークインフラ製品の開発環境・知識管理プラットフォームが侵害され、ソースコード・未公表脆弱性情報が流出した可能性」があるという点で、影響範囲が大きいものとなっております。
Colorkrew Securityでは、BIG-IPのSOC運用・監視、CSIRT支援を行っておりますので、ぜひご相談ください。