F5社への国家支援型サイバー攻撃:BIG-IPソースコード流出で企業は今すぐ何をすべきか

2025年10月16日、サイバーセキュリティ業界に衝撃が走りました。米大手セキュリティ企業F5が、国家支援型の攻撃者による長期間のネットワーク侵入を受け、同社の主力製品「BIG-IP」のソースコードと顧客情報が流出したことを発表したのです。

現役CSIRTアナリストとして数多くのインシデント対応に携わってきた経験から言うと、この事件は単なる「また一つの情報流出」では済まされません。なぜなら、攻撃者が手に入れたのはソースコードという「設計図」そのものだからです。

事件の全貌:なぜこれほど深刻なのか

F5が米証券取引委員会(SEC)に提出した報告書によると、攻撃者は8月9日に発覚するまで「長期にわたる継続的なアクセス」を維持していました。これは典型的なAPT(Advanced Persistent Threat:持続的標的型攻撃)の手法です。

流出した情報は以下の通りです:

  • BIG-IPソースコードの一部
  • 未公開の脆弱性情報
  • ごく少数の顧客に関する設定・実装情報

特に危険なのは、ソースコードの流出により攻撃者が「ゼロデイ脆弱性」を発見する能力を得てしまったことです。米サイバーセキュリティインフラセキュリティ庁(CISA)は、これを「連邦ネットワークにとって差し迫った脅威」と評価しています。

フォレンジック分析:攻撃者の狙いと手法

過去のフォレンジック調査経験から、この攻撃の特徴を分析してみましょう。

長期潜伏型攻撃の恐怖

攻撃者が「長期にわたる継続的なアクセス」を維持していたということは、発覚まで相当な期間、F5のネットワーク内に潜んでいたということです。これは国家支援型グループの典型的な手法で、一度侵入に成功すると:

  • バックドアを複数設置
  • 正規の通信に紛れて活動
  • 段階的に権限を昇格
  • 最重要データまで到達

このような攻撃を防ぐには、従来のアンチウイルスだけでは不十分です。行動分析や異常検知機能を持つアンチウイルスソフト 0の導入が不可欠です。

企業への影響:なぜ他人事ではないのか

「F5の問題だから関係ない」と思うのは大間違いです。BIG-IPは世界中の企業で広く使用されているロードバランサーです。私が過去に担当したインシデントでも、以下のようなケースがありました。

実際のフォレンジック事例

ケース1:中堅製造業A社
BIG-IPの脆弱性を狙った攻撃により、内部ネットワークへの侵入を許してしまいました。攻撃者はラテラルムーブメント(横展開)により、設計図面や顧客情報を含むファイルサーバーまで到達。被害総額は復旧費用を含めて約2億円でした。

ケース2:地方自治体B市
古いバージョンのBIG-IPを使用していたため、既知の脆弱性を突かれて住民情報が流出。インシデント対応、システム再構築、住民への謝罪対応で約6か月間業務が麻痺しました。

今すぐ実施すべき緊急対策

CISAが緊急指令「ED 26-01」を発出したように、F5製品を使用している組織は即座に対策を講じる必要があります。

即座に実施すべき項目

  1. 資産管理の徹底
    すべてのBIG-IPハードウェア・ソフトウェアの棚卸しを実施
  2. 外部アクセスの遮断
    管理インターフェースが外部からアクセス可能になっていないか確認し、必要に応じて即座に遮断
  3. パッチ適用の実施
    10月22日までにF5OS、BIG-IP TMOS、BIG-IQ、BNK/CNFの最新アップデートを適用
  4. EOL製品の廃止
    サポート終了製品は直ちに切断・廃止

中長期的なセキュリティ強化策

緊急対策だけでは不十分です。根本的なセキュリティ強化も同時に進める必要があります。

ネットワークセグメンテーションの強化
BIG-IPが侵害された場合の影響範囲を限定するため、ネットワークのセグメンテーション設計を見直しましょう。

ゼロトラストアーキテクチャの導入
「境界防御」の考え方から「何も信頼しない」ゼロトラストモデルへの移行を検討してください。

リモートアクセスの見直し
特にリモートワーク環境では、VPN 0を活用した安全なアクセス経路の確保が重要です。

Webサイト運営者への警告

BIG-IPはWebアプリケーションの前段に配置されることが多いため、Webサイト運営者にとっても他人事ではありません。

私が担当したフォレンジック調査では、BIG-IPの脆弱性を突破口としてWebアプリケーションが攻撃されたケースが複数ありました。定期的なWebサイト脆弱性診断サービス 0の実施により、攻撃経路となり得る脆弱性を事前に発見・修正することが重要です。

中小企業が知っておくべきリスク

「うちは小さい会社だから狙われない」という考えは危険です。実際、私が対応したインシデントの多くは中小企業でした。なぜなら:

  • セキュリティ対策が手薄になりがち
  • IT専任担当者がいない
  • 古いシステムを使い続けている
  • 攻撃者にとって「踏み台」として利用しやすい

特に今回のような国家支援型攻撃では、最終的な標的に到達するための「踏み台」として中小企業が狙われることが多いのです。

中小企業向けの現実的な対策

基本的なセキュリティ対策の徹底
まずはアンチウイルスソフト 0の導入とOSの定期的なアップデートから始めましょう。これだけでも多くの攻撃を防ぐことができます。

バックアップ戦略の見直し
万が一侵入されても事業継続できるよう、3-2-1ルール(3つのコピー、2つの異なるメディア、1つはオフサイト)に従ったバックアップ体制を構築してください。

まとめ:サイバーセキュリティは経営課題

今回のF5インシデントは、サイバーセキュリティがもはや「IT部門の問題」ではなく「経営課題」であることを明確に示しています。

フォレンジックアナリストとして多くの被害企業を見てきましたが、適切な事前対策を講じていれば防げたケースがほとんどでした。今回の事件を機に、自社のセキュリティ体制を見直し、必要な投資を行うことをお勧めします。

特に重要なのは:

  • 継続的なセキュリティ監視
  • インシデント対応計画の策定
  • 従業員のセキュリティ意識向上
  • 定期的なペネトレーションテストの実施

サイバー攻撃は「もしも」ではなく「いつ」の問題です。今こそ行動を起こす時です。

一次情報または関連リンク

元記事:米サイバーセキュリティ企業F5への攻撃報告

タイトルとURLをコピーしました