米国のサイバーセキュリティ企業F5は、8月初旬にサイバー攻撃を受け、国家支援とみられるハッカーが同社のシステムに侵入し、未公開のBIG-IPセキュリティ脆弱性やソースコードを盗み出したことを明らかにしました。
同社によると、2025年8月9日に侵害に初めて気付き、調査の結果、攻撃者が長期間にわたり同社のシステム、特にBIG-IP製品開発環境やエンジニアリング知識管理プラットフォームにアクセスしていたことが判明しました。
このアクセスにより、攻撃者はソースコード、脆弱性情報、そして一部の顧客に関する設定や実装情報を盗み出すことができました。
「調査の過程で、攻撃者がBIG-IP製品開発環境やエンジニアリング知識管理プラットフォームを含む特定のF5システムに長期間・持続的にアクセスしていたことが判明しました」と、SECへのForm 8-K提出書類には記載されています。
「このアクセスを通じて、特定のファイルが持ち出され、その中には同社のBIG-IPソースコードの一部や、BIG-IPで対応中の未公開脆弱性に関する情報が含まれていました。」
F5は、サイバーセキュリティ、クラウド管理、アプリケーションデリバリーネットワーク(ADN)アプリケーションを専門とするフォーチュン500の大手テクノロジー企業です。同社は170カ国で23,000社の顧客を持ち、フォーチュン50企業のうち48社がF5製品を利用しています。
BIG-IPは、世界中の多くの大企業でADNやトラフィック管理に使用されている同社の主力製品です。
このような未公開脆弱性の重大な流出にもかかわらず、F5は、攻撃者が実際の攻撃でこの情報を利用した証拠、例えば未公開脆弱性を使ったシステムへの攻撃などは確認されていないと述べています。また、個人情報が公開された証拠も確認されていないとしています。
F5は、攻撃者によるBIG-IP環境へのアクセスが同社のソフトウェアサプライチェーンを危険にさらしたり、不審なコードの改ざんが行われたりした事実はないと主張しています。
これには、CRM、財務、サポートケース管理、iHealthシステムなど、顧客データを含むプラットフォームも含まれます。さらに、NGINX、F5 Distributed Cloud Services、Silverlineシステムのソースコードなど、同社が管理する他の製品やプラットフォームも侵害されていません。
ただし、同社はどの顧客の設定や実装情報が盗まれたかを現在も調査中であり、該当する顧客にはガイダンスをもって連絡するとしています。
同社は、BIG-IPリリースの安全性について、主要なサイバーセキュリティ企業による複数の独立したレビューを通じて検証したと付け加えています。
F5は提出書類の中で、米国政府から本件の公表を遅らせるよう要請があったことも明らかにしています。これは重要なシステムの保護に十分な時間を確保するためとみられます。
「2025年9月12日、米国司法省はForm 8-KのItem 1.05(c)に基づき、公表の遅延が正当であると判断しました。F5は現在、適時に本報告書を提出しています」とF5は説明しています。
F5は、このインシデントが同社の業務に重大な影響を与えていないと述べています。すべてのサービスは引き続き利用可能であり、最新の証拠に基づき安全とみなされています。
BleepingComputerはF5にさらなる詳細を問い合わせており、回答があり次第、本記事を更新します。
本件は現在も進行中のニュースです。
