中国系ハッカーのサイバー攻撃、F5ネットワーク侵入の背景とは？米英の警告に潜むリスク

1) 何が起きたのか

米シアトルのF5は10月15日、国家レベルの敵対的アクターによる侵害を公表した。流出にはBIG-IPの一部ソースコードと未公開の脆弱性情報、さらに一部顧客の構成・導入情報が含まれる。サプライチェーンの改ざんは検出されていないが、攻撃者が“設計図”を得たことでゼロデイ開発が加速しうる点が最大の懸念だ。 The Hacker News

米CISAは緊急指令ED-26-01を発出し、連邦機関に即時の棚卸し・更新・隔離を命じた。期限を切った強い文言は、官庁ネットの“最前線装置”が直撃された深刻度を物語る。 CISA

2) タイムライン（UTC基準の主要日付）

• 2025年8月9日：F5が不審なアクセスを初認識。以降、外部フォレンジックを投入。 Rapid7

• 2025年9月12日：米司法省（DoJ）がSEC新ルールに基づく公表猶予を認める。国家安全保障上の理由によるもの。 CBSニュース

• 2025年10月15日：F5がForm 8-Kと開示文を提出・公表。同日、CISAがED-26-01。 SEC

• 対応期限：多くのF5製品は10月22日まで、残りは10月31日までに更新、10月29日には報告提出、12月3日に完全棚卸しの提出が求められる（連邦機関向け）。 nuharborsecurity.com

3) どこまで抜かれたのか

F5は、開発・ナレッジ系システムへの長期アクセスと、一部顧客の構成データ流出を認めた。ビルドシステムや配布物への改ざんは確認されていないと強調する。一方、ソースコードと脆弱性情報の流出は、静的・動的解析による脆弱性発掘を攻撃側に委ねる格好になり、後追いゼロデイの増加が懸念される。 BleepingComputer

報道ベースでは、12カ月以上の潜伏が示唆され、中国関与の見立ても広がっている。ただしF5やCISAは出自を公式には特定していない。 Reuters

4) 産業への波及—「ソーラーウィンズ級」か？

F5はFortune 500の大半や米政府ネットで使われ、ロードバランサ、WAF、ゲートウェイとして“トラフィックの交差点”を担う。交差点の設計図が流出した場合、既存運用を踏まえたピンポイント侵入が容易になる。専門家は、2020年のSolarWindsに比肩するリスクを指摘する声も上げる。 Reuters

5) 米英当局の動き

CISAのED-26-01は、資産棚卸し、管理面の遮断（公開管理面の外出し禁止）、更新適用、EoL機の切り離しなどを義務化した。英国NCSCもF5ネットワークの侵害を確認し、最新アップデート適用を促している。 CISA

6) SNSの反応（要旨）

• Tenable CSOのBob Huberは「five-alarm fire（五段警報級の火事）」と表現。国家安全保障上の重大事として緊急対応を訴求。 Tenable®

• ZscalerはCISAの緊急指令を引用し、ソースコードと機微データ流出の深刻さを強調。 X (formerly Twitter)

• Censysは「武器化の高リスク」として、接続管理面の即時遮断とアップデートを推奨。 X (formerly Twitter)

• セキュリティ系メディア（The Hacker News、SC Media）も速報を拡散し、連邦向け指令とBIG-IPソース流出を再掲。 X (formerly Twitter)

• 投資・マーケット界隈（Seeking Alphaのポスト）でも、$FFIVやセキュリティ銘柄への連想が取り沙汰された。 X (formerly Twitter)

※引用は短文に留め、各発信の文脈を要約しています。

7) 実務者のための“即応”チェックリスト

(A) 露出の遮断（Today）

1. 管理面（mgmt/GUI/SSH/TMUI）の外部露出を0に、踏み台/VPN経由に限定。

2. EoL/EoS機はネットワークから切り離し、後継機へ更改計画。 CISA

(B) 更新とハードニング（〜10/22・10/31）
3. BIG-IP / F5OS / BIG-IQ / APMクライアント等を10/22・10/31期限で更新。カーネル、署名、攻撃緩和設定も適用。 nuharborsecurity.com
4. Cookie/セッションに関する既知問題の緩和設定、旧来のTMUI露出がないか再点検。 The Hacker News

(C) 検知・封じ込め（今週）
5. 過去12〜18カ月のログで開発・管理面への異常、未知IPの長期滞在、認証トークン濫用をハンティング。
6. 資格情報・APIキーのローテーション（BIG-IP連携先も含める）。
7. セグメンテーション再設計：LTM/ASM/AFM/Accessの役割ごとに境界を見直す。
8. 報告義務のある組織は10/29・12/3のCISA提出に備え、完全棚卸しと是正記録を残す（該当機関向け）。 nuharborsecurity.com

(D) 中長期（今後1〜3カ月）
9. 想定ゼロデイに備え、**仮想パッチ（WAFシグネチャ/ASMポリシ）**を即時反映できる運用へ。
10. ビルド改ざんは未検出だが、**供給物の整合性検証（SBOM/署名検証）**をルーチン化する。 The Hacker News

8) なぜ“エッジ”が狙われるのか

エッジ機器は認証情報とトラフィックの両方に触れる。攻撃者は設計と既定値を知るだけで、弱い運用（露出・古いバージョン・EoL）を選別できる。今回、政府は期限付きの強制措置で一斉是正を迫った。これは**“個社努力”では届かない領域**に踏み込む合図でもある。 CISA

9) 市場・企業への示唆

報道はソースコード流出と未公開脆弱性情報に重心を置き、SolarWindsとの比較も見られる。投資家向けメディアでも取り上げられ、セキュリティ銘柄の連想とともにFFIVのリスクディスクロージャが注目された。もっとも、供給物の改ざんは未確認で、今後の追加CVEや悪用の有無が評価を左右する。 Reuters

10) これから起こりうること

• 追加のCVE公表や緩和策の更新

• 武器化PoCの出現と、それに対するWAF/IPSシグネチャの追随

• 顧客通知の追加波（設定情報が流出した範囲の確定）

• 英NCSCや各国CERTの追補アドバイス—“公的ハードニング”の常態化へ。 ncsc.gov.uk