ハクソク

世界を動かす技術を、日本語で。

F5がハッカーに未公開のBIG-IPの脆弱性とソースコードを盗まれたと発表

207日前原文(bleepingcomputer.com)

概要

  • F5社国家支援型ハッカー によるシステム侵害を公表
  • 未公開の BIG-IP脆弱性 やソースコードの窃取が判明
  • 供給網や他製品への被害は 確認されず
  • 影響を受けた顧客には 個別通知と対策ガイダンス を提供予定
  • 各種 セキュリティ強化策 とアップデートを実施済み

F5社への国家支援型ハッキング被害の概要

  • F5社 が2025年8月9日に システム侵害 を初めて認知
  • 攻撃者 は長期間にわたり、 BIG-IP開発環境エンジニアリング知識管理プラットフォーム へアクセス
  • BIG-IP は世界中の大企業で利用される主力製品
  • 23,000社・170カ国 の顧客、 Fortune 50中48社 が利用
  • ソースコード や未公開の 脆弱性情報、一部顧客の構成・実装情報が流出

被害状況と限定的な影響範囲

  • 供給網(サプライチェーン)や 他製品への影響はなし
  • 攻撃者が 実際に脆弱性を悪用した証拠は未確認
  • 顧客データを扱う CRM、財務、サポート管理、iHealth 等のシステムも 被害なし
  • NGINX、Distributed Cloud Services、Silverline 等のソースコードも無事
  • 疑わしいコード変更や不正なソフトウェア流通の証拠なし

インシデント対応とセキュリティ強化策

  • アクセス制御の強化 ・認証情報のローテーション
  • インベントリ・パッチ管理の自動化、監視・検知・対応ツールの追加導入
  • ネットワークセキュリティアーキテクチャの刷新
  • 開発環境の堅牢化、セキュリティコントロールと監視強化
  • NCC Group による重要ソフトウェア部品のセキュリティレビュー
  • IOActive による追加評価(進行中)、現時点で不正な脆弱性混入の証拠なし

顧客への推奨事項とサポート体制

  • 流出対象となった顧客には 個別連絡ガイダンス提供
  • BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ、APM 向けに アップデート公開
  • 未公開の重大脆弱性 悪用の証拠はないが、 アップデートの早期適用を推奨
  • 脅威ハンティングガイドiHealth Diagnostic Tool の自動化チェック機能を提供
  • SIEMへのBIG-IPイベントストリーミングリモートsyslogサーバへのログ記録、ログイン試行の監視を推奨
  • MyF5サポートケースF5サポート窓口 での支援体制

セキュリティ検証と追加対応

  • CrowdStrike、Mandiant 等の独立系サイバーセキュリティ企業による 複数回の検証
  • デジタル製品署名用証明書・鍵のローテーション を実施
  • BIG-IP、BIG-IQ TMOS、F5OS 等のインストール手順に影響
  • NCSC(英国)・CISA(米国) からの追加ガイダンス
    • 全F5製品の特定と管理インターフェースの公開有無確認
    • 公開発見時には 侵害評価 を推奨

公表遅延の背景と現状

  • 米国政府の要請 で公表を一時遅延
  • 2025年9月12日、 米司法省が公表遅延を承認 (Form 8-K, Item 1.05(c))
  • 現時点で 事業運営への重大影響なし
  • すべてのサービスは 安全かつ利用可能

今後の展望とイベント案内

  • BleepingComputer がF5社へ追加情報を問い合わせ中
  • Picus BAS Summit (Breach and Attack Simulation Summit)で最新セキュリティ検証技術を紹介予定
    • AI活用のBAS による攻撃・侵害シミュレーションの未来を体験可能
    • セキュリティ戦略の最前線を学べるイベント案内

Hackerたちの意見

彼らが「国家」と言ってるのは、実際に国家が関与してた証拠がないのに、問題を軽く見せようとしてるだけなんじゃないかな。もちろん、実際に国家が関与してる可能性もあるけど、ちょっと考えてみただけ。

これ、明らかに企業の危機管理PRの文だね。期待してた内容とは全然違うし、HNが好きな理由でもないわ。

BIG-IPはDPIを実行してるけど(Sandvine Active Logicほど良くはないけど)、権威主義国家の親友だよね。全トラフィックを通してる別の国家を妥協したい?この脆弱性は始めるには悪くない場所だよ…。

たとえ本当に国家が関与してたとしても、セキュリティ界隈がその用語にこだわる理由が分からない。国家、州、国家としての意味が本当に重要なの?もちろん、全然重要じゃないけど、「国家」という言葉はかっこいいから、そう言ってるだけで、実際には国家じゃない時でもね。

そういうことはよくあるけど、今回は攻撃者の種類がすごく重要なケースだね。例えば、Shiny HuntersみたいなグループがF5からこれらの脆弱性を盗んだら、F5に攻撃されたことはすぐ分かるよ。なぜなら、彼らはすでに全データベースをダンプして、自慢してるから。攻撃者が「国家」である場合、スパイ活動を目的とした攻撃を受けるような組織なら、過去の活動をもっと慎重に調査する必要があるよ。

ちょっと待って、ハンドルネームを「国家」に変えるわ。履歴書のネタが必要だから。

国家レベルのアクターはこういうことをいつもやってるよね。彼らは資金が潤沢だから、才能を雇ったり、リソースを持ったり、情報収集やゼロデイ攻撃にお金を使ったりできるんだ。しかも、敵国に行かない限り、起訴されることもないし。北朝鮮はこれにかなりのお金を使ってるし、ロシアや中国もそうだよ。アメリカやイスラエルもね。

つまり、トラフィックが国家から来てるから、そうに違いないよね。

cisaが新しい情報を出したよ:ED 26-01: F5デバイスの脆弱性を軽減する方法。 https://www.cisa.gov/news-events/directives/ed-26-01-mitigat...

このレポート、役に立つ情報が全然ない気がする。「こういう状況の時は連絡してください」ってだけじゃん。俺だけかな?

リンク先のアドバイザリーの項目#2(「ネットワーク管理インターフェースが公共のインターネットから直接アクセス可能かどうかを確認する」)が、妥協がその状況でのみ起こりうるのかどうかを示しているかは分からないけど… 来週、リモートワーカーたちはオフラインで考える時間がたくさんありそうだね。

攻撃者が長期間システムにアクセスしていて、全く使わなかったなんて信じがたいな。アクセスがどう使われたかを知らないだけの可能性が高い気がする。

攻撃者がデータを抜き出したらしいけど、ソースコードも含まれてるみたい。けど、抜き出した脆弱性は使われてないって言ってるね。

F5が国家レベルのハッカーについて発表した この発言には、企業が政府の助成金を狙ってるように聞こえる。何度も目にするし、その文脈でしか理解できない。テロみたいなもんで、悪者と戦うためには無限のお金が必要って感じ。

国家レベルのアクターには、リクルートや訓練、超高度なハッキングプログラムにお金をかける大きなインセンティブがあるんだよね。法的な監視もほとんどないし、資源も無限に近い。なんで君が信じられないのか全然わからない。もし俺が国を運営してたら、サイバー攻撃と防御が最優先事項になると思う。企業ネットワークはもちろん、軍事ネットワークにさえ自由に侵入できる能力は、ほぼ無限の無料IPだよ。

国家が支援するハッカーは、知られている標的侵入グループの大半を占めてる。これは風車に向かって戦ってるランダムな企業じゃなくて、アメリカやアメリカと提携している企業に毎日実際に襲いかかるリアルな脅威だよ。

何度も目にするし、その文脈でしか理解できない これらの企業が企業の福祉を拒否するとは言わないけど、別の説明を提案するよ。それは、会社の責任を外部のリソース豊富な攻撃者にシフトさせることで、会社が防ぐことができないと考えられるようにすることだ。何百万ドルもかけて物理的なセキュリティプログラムを整備していて、ランダムな薬物中毒者が侵入して企業の秘密を盗んだら、みんな疑問を持つだろう。でも、外国のスパイが同じことをしたら、盗難を防ぐためにできることはなかったって言い訳が少しできる。これまでにいくつかのインシデントレスポンスレポートを見てきたけど、IRベンダーが攻撃に国家レベルのアクターの特徴があるって主張するのはすごく一般的だよ。これらのレポートはセキュリティプログラムの資金調達に使われるけど、俺はいつもその発言を、捕まったCISOたちの「無罪放免カード」として読んでる。

国家レベルの攻撃者についての解釈がちょっと意地悪だと思う。一般的に、今のところ政府は民間企業(でも一部の重要インフラ企業かも)にセキュリティを確保するためにお金を払ってないんだ。企業がセキュリティ侵害に対して責任を持つ方法を模索している初期段階にいるし、その一環として、彼らがそれを防げたかどうかを考える必要がある。これにはいくつかの原則が関わってくる。* 防御側と攻撃側のリソースはどれくらいか? * 攻撃者は誰か(帰属が重要 - Twitter/Xの@ImposeCostに感謝) * 攻撃の被害者は、原因が重大な過失ではないことを示すために合理的な手段を講じていたか? 国家レベルの攻撃者の仕事は、多くのソフトウェア開発会社と特に違うわけではない。* エンジニアやアナリストのチームがいて、ほぼすべてのソフトウェアを分析して脆弱性を見つける仕事をしている。* インフラやツールを構築するチームがいる。* 脆弱性を悪用するためのエクスプロイトやペイロードを作るチームがいる。* 実際に操作を行うチームがいる。被害者の組織によっては、トップクラスの国があなたの持っているものを欲しがれば、必ず手に入れるだろうし、あなたはそれに気づかないかもしれない。F5は、少なくともQ2の収益から見ても、非常に利益を上げている、リソースが豊富な会社で、これまでにいくつかの高プロファイルな攻撃や脆弱性の被害に遭ってきた。彼らはおそらく、脆弱性を見つけて悪用したチームに対してまだ劣っていたんだろう。国家レベルの言葉を使うのは、彼らがほとんどすべての正しいことをしていて、それでもやられたという信号を送るためだよ。関連する政府関係者はすでに何が起こったかを知っていて、これは市場に対して彼らがすべきことをしていて、怠慢ではないという信号なんだ。[0] - https://www.f5.com/company/news/press-releases/earnings-q2-f...

こういう発言に対して、政府からお金をもらった企業の例ってある?

国家レベルのハッカーに侵害された組織にお金を支払う政府のプログラムがあるなら、すぐにF5製品にネットワークインフラをアップグレードして、BIG-IPの移行について勉強し始めるよ。つまり、時には国家レベルのハッカーが本当に侵害の背後にいることもあるんだ。F5はそういうグループにとって非常に信頼できる、論理的なターゲットだよ。

この発言には、企業が政府からのタダのお金を狙っているように聞こえる部分があるね。公開されたCISAの緩和策から:国家に関連するサイバー脅威アクターがF5のシステムを侵害し、BIG-IPのソースコードや脆弱性情報の一部を含むファイルを抽出した。脅威アクターがF5の独自のソースコードにアクセスできることで、F5のデバイスやソフトウェアを悪用するための技術的な優位性を持つ可能性がある。 > それはテロリズムのような悪夢だね。あるいは、責任ある脆弱性開示で、その影響がこう説明されているかもしれない:[0] このサイバー脅威アクターは、F5のデバイスやソフトウェアを使用する連邦ネットワークに対して差し迫った脅威をもたらす。影響を受けたF5製品の成功した悪用により、脅威アクターは埋め込まれた資格情報やAPIキーにアクセスし、組織のネットワーク内で横移動し、データを抽出し、持続的なシステムアクセスを確立することができる。これにより、ターゲットの情報システムが完全に侵害される可能性がある。0 - https://www.cisa.gov/news-events/directives/ed-26-01-mitigat...

それはただの事実だよ。他の国が毎日こういう攻撃を実行してるのに、悪者を必要としない。

開示されていないF5の脆弱性 なんでかわからないけど、これ、バックドアっぽい気がする。

サインキーが1日早くローテーションされたみたいだね。 https://my.f5.com/manage/s/article/K000157005 2025年10月に、F5はデジタルオブジェクトを暗号的に署名するためのサイン証明書とキーをローテーションしたんだ。その結果、2025年10月以降にリリースされたBIG-IPとBIG-IQ TMOS製品のバージョンは新しい証明書とキーで署名されてるよ。2025年10月以降にリリースされたBIG-IPとBIG-IQ TMOS製品のバージョンには、新しい公開鍵が含まれていて、2025年10月以降にリリースされた特定のF5製オブジェクトを検証するために使われるんだ。2025年10月以降にリリースされたBIG-IPとBIG-IQ TMOS製品のバージョンは、2025年10月以前にリリースされた特定のF5製オブジェクトを検証できないかもしれないよ。

静かに更新されたサインキーに続く未来の8K開示について、賭けができるか気になるな。今朝、F5に対して賭けをしたら、たった3.6%しか利益が出なかったよ。

彼らが業界で広く使われている主力製品が侵害されたことを明らかにするのに67日もかかったんだ。なんでこういう情報開示がどんどん遅くなってるように見えるのか、誰か知ってる?「悪いニュースはすぐに広まる」って言葉が、こういう場合にはもっと当てはまると思うんだけど、被害を最小限に抑えるためにもね。

はっきりさせておくけど、攻撃者はこの日付のずっと前からシステムにアクセスしてた。企業が法執行機関に関与する時、法執行機関が問題を知ってることを公表しないように求めることがあるんだ。そうすることで、フォレンジックが問題を追跡できるようにするためね。法執行機関がどれくらいの頻度で、どれだけ有能かは言わないけど、そういうこともある。

これには一部そういう理由があると思うんだ。最高裁が2010年代初頭から、クラスアクションの脅威を積極的に薄めてきたから。ソニーや他の多くの企業が、ブランドの評判は侵害によってあまり影響を受けないことを証明してる。これがB2Bにも影響する。クライアントが気にしないなら、なんで自分が気にする必要があるの?法的リスクだけが他の動機付けになるけど、それが効果的に無力化されてしまったら、企業が侵害に対して適切な調査を行う意味がなくなる。私の知る限り、Yahooが侵害によってアメリカの法制度から大きな影響を受けた最後の企業だと思う。

彼らの顧客は企業だから、この問題はプライベートなチャネルで対処できる。彼らの視点からすると、この特定の侵害を公にすることで得られるものはほとんどないよね。むしろ、F5の顧客がリスクがある時に自分たちの顧客にアドバイスすべきだと思う。開示しておくと、私はこの侵害の影響を受けていて、いくつかのサイトでF5が関与してるけど、誰からもリスクについて知らされていないし、F5が関与しているところで火消しをしてるけど、特に何かを責められているわけではない。でも、F5の規模や資金を考えると、公に開示するインセンティブは一般の利益には合ってないよね。最近は、透明性よりもダメージコントロールが優先されてる。

僕の理解では、ハッカーたちはアプリのソースコードをコピーしてたから、未解決のCVEを全部パッチしなきゃいけなかったんだよね。それで、DOJが準備が整うまで待たせたってわけ。理想的ではないけど、今できることは少しはあるんじゃないかな。ただ、情報の提供がもうちょっと早かったらよかったのにって感じもする。

サイバーセキュリティ会社がハッキングされた — なんて皮肉だ。

皮肉というより、組織に侵入するための絶好の手段だよね。どこにでも展開してるセキュリティや監視エージェントがデータを抜き取ってるのを疑わないし、どうせテレメトリーを期待してるから。

最近の企業って、CISOのための保険みたいなもんだよね。で、そのCISOはCEOやCTOのための保険でもあるし。

これは、イギリススタイルの暗号データへの国家レベルのバックドア要求に対する素晴らしい反論だね。これが悪用されるのは間違いないし、彼らがその悪用を知るまでにはかなりの時間がかかるだろうし、私たちが知るまでにはもっと時間がかかるだろうね。