アプリケーションセキュリティおよびデリバリーテクノロジーを専門とするF5は、水曜日、「高度に洗練された」サイバー攻撃の標的となったことを公表しました。同社はこの攻撃を国家支援のアクターによるものとしています。この発表は、米国司法省の承認を受けて行われたもので、F5は法執行機関の調査を理由に、Form 8-KのItem 1.05(c)に基づき情報公開を遅らせることが認められていました。
証券取引委員会に提出された8-Kフォームによると、同社は8月9日に不正アクセスを初めて認識し、外部のサイバーセキュリティコンサルタントの協力を含む標準的なインシデント対応措置を開始しました。9月には、司法省がF5に対し、情報漏洩の公表を差し控えることを許可しました。政府は、漏洩が「国家安全保障または公共の安全に重大なリスクをもたらす」と判断された場合、公表の遅延を認めています。
調査により、脅威アクターがF5のインフラの一部に長期間アクセスしていたことが判明しました。影響を受けたシステムには、BIG-IP製品開発環境や同社のエンジニアリング知識管理プラットフォームが含まれていました。不正アクセスによりファイルが流出し、その一部にはBIG-IPのソースコードの断片や、当時同社が対応中だった脆弱性に関する詳細が含まれていました。また、流出したファイルには「ごく一部の顧客向けの設定または実装情報」も含まれていたとしています。
F5は、インシデント対応会社による独立した調査の結果、攻撃者がソフトウェアサプライチェーン(ソースコードやビルド・リリースパイプラインを含む)を改ざんした証拠は見つからなかったと報告しました。同社は、未公開の重大な脆弱性やリモートコード実行の脆弱性、また本件に関連する現時点での悪用についても認識していないと述べています。また、封じ込め措置は迅速に実施され、これまでのところ新たな不正活動の証拠は確認されていないとしています。
SECフォームによれば、同社の顧客関係管理、財務、サポートケース管理、iHealthシステムへのアクセスの証拠は見つかりませんでした。しかし、流出したファイルの一部にはごく一部の顧客に影響する設定または実装の詳細が含まれていたとしています。F5はこれらの資料の精査を続けており、必要に応じて顧客への連絡を行っています。
さらに調査の結果、NGINX製品開発環境やF5 Distributed Cloud Services、Silverlineシステムには影響がなかったことも判明しました。
F5は対応の過程で連邦法執行機関と連携を続けており、ネットワーク防御を強化するための追加措置を実施しています。会社関係者は、情報漏洩が公表日現在、日々の業務に重大な影響を及ぼしていないと報告しています。今後も会社の財務状況や業績への影響があるかどうか継続的に評価が行われています。
シアトルに本拠を置くF5は、アプリケーションセキュリティおよびデリバリー市場の主要企業であり、フォーチュン500の多くを含む世界中の数千のエンタープライズ顧客にサービスを提供しています。同社の主力製品には、ネットワークトラフィック管理、アプリケーションセキュリティ、アクセス制御を提供するBIG-IPハードウェアおよびソフトウェア製品群、NGINX、F5 Distributed Cloud Servicesプラットフォームなどがあります。F5の技術は、世界中の企業、政府機関、サービスプロバイダーによって広く利用されています。
本件は現在進行中の事案であり、新たな情報が入り次第、随時更新されます。
翻訳元: https://cyberscoop.com/f5-breach-nation-state-actor-sec-8k-justice-department/
