概要

• F5社 が 国家支援型ハッカー によるシステム侵害を公表
• 未公開の BIG-IP脆弱性 やソースコードの窃取が判明
• 供給網や他製品への被害は 確認されず
• 影響を受けた顧客には 個別通知と対策ガイダンス を提供予定
• 各種 セキュリティ強化策 とアップデートを実施済み

F5社への国家支援型ハッキング被害の概要

• F5社 が2025年8月9日に システム侵害 を初めて認知
• 攻撃者 は長期間にわたり、 BIG-IP開発環境 や エンジニアリング知識管理プラットフォーム へアクセス
• BIG-IP は世界中の大企業で利用される主力製品
• 23,000社・170カ国 の顧客、 Fortune 50中48社 が利用
• ソースコード や未公開の 脆弱性情報、一部顧客の構成・実装情報が流出

被害状況と限定的な影響範囲

• 供給網（サプライチェーン）や 他製品への影響はなし
• 攻撃者が 実際に脆弱性を悪用した証拠は未確認
• 顧客データを扱う CRM、財務、サポート管理、iHealth 等のシステムも 被害なし
• NGINX、Distributed Cloud Services、Silverline 等のソースコードも無事
• 疑わしいコード変更や不正なソフトウェア流通の証拠なし

インシデント対応とセキュリティ強化策

• アクセス制御の強化 ・認証情報のローテーション
• インベントリ・パッチ管理の自動化、監視・検知・対応ツールの追加導入
• ネットワークセキュリティアーキテクチャの刷新
• 開発環境の堅牢化、セキュリティコントロールと監視強化
• NCC Group による重要ソフトウェア部品のセキュリティレビュー
• IOActive による追加評価（進行中）、現時点で不正な脆弱性混入の証拠なし

顧客への推奨事項とサポート体制

• 流出対象となった顧客には 個別連絡 と ガイダンス提供
• BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ、APM 向けに アップデート公開
• 未公開の重大脆弱性 悪用の証拠はないが、 アップデートの早期適用を推奨
• 脅威ハンティングガイド や iHealth Diagnostic Tool の自動化チェック機能を提供
• SIEMへのBIG-IPイベントストリーミング、 リモートsyslogサーバへのログ記録、ログイン試行の監視を推奨
• MyF5サポートケース や F5サポート窓口 での支援体制

セキュリティ検証と追加対応

• CrowdStrike、Mandiant 等の独立系サイバーセキュリティ企業による 複数回の検証
• デジタル製品署名用証明書・鍵のローテーション を実施
• BIG-IP、BIG-IQ TMOS、F5OS 等のインストール手順に影響
• NCSC（英国）・CISA（米国） からの追加ガイダンス
  • 全F5製品の特定と管理インターフェースの公開有無確認
  • 公開発見時には 侵害評価 を推奨

公表遅延の背景と現状

• 米国政府の要請 で公表を一時遅延
• 2025年9月12日、 米司法省が公表遅延を承認 （Form 8-K, Item 1.05(c)）
• 現時点で 事業運営への重大影響なし
• すべてのサービスは 安全かつ利用可能

今後の展望とイベント案内

• BleepingComputer がF5社へ追加情報を問い合わせ中
• Picus BAS Summit （Breach and Attack Simulation Summit）で最新セキュリティ検証技術を紹介予定
  • AI活用のBAS による攻撃・侵害シミュレーションの未来を体験可能
  • セキュリティ戦略の最前線を学べるイベント案内