米国のサイバーセキュリティ企業F5は、8月初旬にサイバー攻撃を受け、国家支援とみられるハッカーが同社のシステムに侵入し、未公開のBIG-IPセキュリティ脆弱性およびソースコードを盗み出したことを明らかにしました。
同社によると、2025年8月9日に侵害を初めて認識し、調査の結果、攻撃者が同社のBIG-IP製品開発環境やエンジニアリング知識管理プラットフォームを含むシステムに長期間アクセスしていたことが判明しました。
このアクセスにより、脅威アクターはソースコード、脆弱性情報、および一部の顧客に関する設定や実装情報を盗み出すことができました。
「調査の過程で、当社は脅威アクターがBIG-IP製品開発環境やエンジニアリング知識管理プラットフォームを含む特定のF5システムに長期間かつ持続的にアクセスしていたことを確認しました」と、SECへのForm 8-K提出書類には記載されています。
「このアクセスを通じて、特定のファイルが持ち出され、その中には当社のBIG-IPソースコードの一部や、BIG-IPで対応中の未公開脆弱性に関する情報が含まれていました。」
F5はサイバーセキュリティ、クラウド管理、アプリケーションデリバリーネットワーキング(ADN)アプリケーションを専門とするフォーチュン500の大手テクノロジー企業です。同社は170か国で23,000社の顧客を持ち、フォーチュン50のうち48社がその製品を利用しています。
BIG-IPは、世界中の多くの大企業でADNやトラフィック管理に使用されている同社の主力製品です。
この未公開脆弱性の重大な漏洩にもかかわらず、F5は攻撃者が実際の攻撃でこの情報を利用した証拠はなく、未公開の脆弱性を悪用した形跡もないと述べています。また、個人情報が公開された証拠も確認されていないとしています。
F5は、脅威アクターによるBIG-IP環境へのアクセスがソフトウェアサプライチェーンの侵害や不審なコード改ざんにはつながっていないと主張しています。
これには、CRM、財務、サポートケース管理、iHealthシステムなど、顧客データを含むプラットフォームも含まれます。さらに、NGINX、F5 Distributed Cloud Services、Silverlineシステムのソースコードなど、同社が管理する他の製品やプラットフォームも侵害されていません。
ただし、同社はどの顧客の設定や実装情報が盗まれたかを現在も確認中であり、該当する顧客には指示をもって連絡するとしています。
同社はまた、BIG-IPリリースの安全性について、複数の大手サイバーセキュリティ企業による独立したレビューを通じて検証したと付け加えています。
F5は提出書類の中で、米国政府からこのインシデントの公表を遅らせるよう要請があったことを明らかにしています。これは重要なシステムの安全確保のための時間を確保するためと考えられます。
「2025年9月12日、米国司法省はForm 8-KのItem 1.05(c)に基づき、公表の遅延が正当であると判断しました。F5は現在、適時にこの報告書を提出しています」とF5は説明しています。
F5は、このインシデントが業務に重大な影響を及ぼしていないと述べています。すべてのサービスは引き続き利用可能であり、最新の証拠に基づき安全とみなされています。
BleepingComputerはF5に対し、インシデントの詳細について問い合わせており、回答があり次第、本記事を更新します。
この記事は続報があり次第、更新します。
