TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

F5、国家による侵害を公表し、即時のパッチ適用を呼びかけ

米国政府は、セキュリティベンダーF5が国家による攻撃者によって侵害されたことを明らかにした後、連邦機関に対して即時の対応を求めました。

アプリケーションセキュリティの専門企業であるF5は、8月に侵害を発見していたにもかかわらず、昨日になって顧客に対してこの事実を通知しました。

「2025年8月、当社は高度に洗練された国家の脅威アクターが、特定のF5システムへの長期的かつ持続的なアクセスを維持し、ファイルをダウンロードしていたことを知りました。これらのシステムには、当社のBIG-IP製品開発環境およびエンジニアリング知識管理プラットフォームが含まれていました」と説明しています。

「当社は脅威アクターを封じ込めるために広範な対応を実施しました。これらの活動を開始して以来、新たな不正活動は確認されておらず、封じ込めは成功したと考えています。」

F5に関する詳細:CISA、F5 BIG-IPシステムでのCookie暗号化を推奨

重要なのは、盗まれたファイルの一部にBIG-IPのソースコードや、未公開の脆弱性に関する情報が含まれていたことです。同社は未公開の脆弱性が実際に悪用された事例は把握していないとしつつも、すべての顧客に対し、四半期ごとのセキュリティ通知に記載されたBIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQおよびAPMクライアントのアップデートを適用するよう強く呼びかけています。

米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は昨日、緊急指令を発出し、連邦機関に対して「ネットワーク管理インターフェースがパブリックインターネットからアクセス可能か評価し、F5からのアップデートを適用する」よう求めました。

同庁は、脅威アクターがF5の開発環境にアクセスできたことで、論理的な欠陥やゼロデイ脆弱性、標的型エクスプロイトを発見するための静的・動的解析が可能になる恐れがあると警告しています。

「このサイバー脅威アクターは、F5デバイスおよびソフトウェアを使用する連邦ネットワークに差し迫った脅威をもたらしています」とCISAは続けています。

「影響を受けたF5製品が悪用された場合、脅威アクターが埋め込まれた認証情報やアプリケーションプログラミングインターフェース(API)キーにアクセスし、組織内ネットワークを横断的に移動し、データを流出させ、持続的なシステムアクセスを確立することが可能になります。これは、対象となる情報システムの完全な侵害につながる可能性があります。」

同庁が推奨する是正措置の一覧はこちらで確認できます。

F5が昨日SECに提出した書類によると、司法省が9月12日に公表の遅延を命じていたため、政府は対応準備の時間があった可能性が高いとみられます。

さらなる対応が必要

F5は、CRM、財務、サポートケース管理、iHealthシステムからのデータ流出の証拠はないと述べています。しかし、知識管理プラットフォームから盗まれた一部のファイルには、「ごく一部の顧客」に関する設定や実装情報が含まれていたことを認めました。

また同社は、これまでのところ以下に対する改ざんの証拠は確認されていないと主張しています:ソフトウェアサプライチェーン(ソースコードやビルド・リリースパイプラインを含む)、NGINXのソースコード/製品開発環境、F5 Distributed Cloud ServicesやSilverlineシステム。

最新のセキュリティアップデートを適用する以外にも、顧客に対して以下を推奨しています:

  • 侵入の兆候を見つけるための積極的な脅威ハンティングを実施する
  • F5 iHealth診断ツールを使用してF5システムを強化する
  • SIEMにBIG-IPイベントストリーミングを有効化し、管理者ログイン、認証失敗、権限・設定変更を監視する

ベンダー側としては、アクセス制御、インベントリおよびパッチ管理、ネットワークセキュリティ、全ソフトウェア開発プラットフォームの監視など、内部セキュリティを強化したと述べています。

Hitrustのサイバーリスク担当副社長トム・ケラーマン氏は、F5の侵害はサプライチェーン攻撃キャンペーンの第一段階である可能性が高いと指摘しています。

「ならず者国家のアクターは、いかに成功し、豊富なリソースを持っているかを常に示しています。敵がアプリケーション層にアクセスすると、単にデータを盗むだけでなく、コマンド&コントロールのために自らを埋め込むのです」と同氏は付け加えました。

「F5の顧客は、ADR(アプリケーション検知・対応)を通じてアプリケーション層での検知と対応を直ちに強化する必要があります。サプライチェーン攻撃は現代のサイバー戦争で好まれる戦術となっています。サードパーティリスクを国家安全保障問題として扱い始めなければなりません。」

ImmuniWebのCEO、イリア・コロチェンコ氏も、盗まれた知的財産が今後のAPTキャンペーン向けのゼロデイエクスプロイト作成に利用される可能性があると同意しています。

「同様に、技術情報が漏洩したとされるごく一部の顧客は、緊急にリスクを評価し、F5と連携してインシデントの影響をより深く理解し続けるべきです」と同氏は述べています。

画像クレジット:Sundry Photography / Shutterstock.com

翻訳元: https://www.infosecurity-magazine.com/news/f5-nation-state-breach-immediate/

ソース: infosecurity-magazine.com
#2025年サイバー攻撃 #BIG-IP #CISA #Equifax情報漏洩 #F5 #サプライチェーン攻撃 #セキュリティアップデート #ゼロデイ脆弱性 #パッチ適用 #国家支援型攻撃

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新