F5、国家支援型ハッカーがソースコードや脆弱性データを盗み出したことを公表

佐々山 Tacos

2025.10.16

F5、国家支援型ハッカーがソースコードや脆弱性データを盗み出したことを公表

SecurityWeek – October 15, 2025

F5は10月15日、非常に巧妙な国家支援型脅威アクターが同社のシステムを侵害して機微な情報を盗み出したことを公表。これらの情報には、BIG-IPのソースコードや未公開の脆弱性情報が含まれるという。

F5が米国証券取引委員会（SEC）に提出した報告書によれば、攻撃者は同社のフラグシッププラットフォームであるBIG-IPの開発環境とエンジニアリング関連のナレッジマネジメントシステムを含む複数システムへの長期的かつ持続的なアクセスを維持していたという。同社がこのインシデントを検出したのは2025年8月9日だが、米司法省から開示を遅らせる許可を得たとされる。

このアクセスを通じて盗み出されたファイルの中には、BIG-IPのソースコードの一部を含むものや、BIG-IPにおいて対応中だった未開示の脆弱性に関する情報を含むものがあったという。ただ、同社は「開示されていない重大な脆弱性やリモートコードの脆弱性」は認識しておらず、F5製品における未開示の脆弱性が実際の攻撃で悪用された事例についても認識していないとしている。

これらの情報のほか、エンジニアリング関連のナレッジマネジメントシステムから抜き取られたファイルの一部には、少数の顧客に属する設定データや実装データが含まれていたとされる。F5はこれらのファイルをレビュー中であり、影響を受ける顧客には必要に応じて直接通知を行う予定だという。

一方で、ソースコードやビルド／リリースパイプラインを含むF5のソフトウェアサプライチェーンに改変が加えられた形跡はないことが伝えられたほか、同社は「NGINX製品のソースコードや製品開発環境への脅威アクターによるアクセスや改変の形跡はなく、F5 分散クラウドサービスやSilverlineのシステムへの脅威アクターによるアクセスや改変の形跡もない」と述べた。

なお、F5は15日、上記の攻撃で情報が盗まれていた未開示の脆弱性を含む44件の脆弱性に対するパッチをリリースし、顧客に可及的速やかなアップデートを推奨している。米CISAも同日に緊急指令（ED 26-01）を発出し、10月22日までに最新のパッチの適用してF5OS、BIG-IP TMOS、BIG-IQ、BNK/CNF製品を保護するよう米国連邦民間行政機関に命じた。

F5は今回の攻撃者に関するこれ以上の詳細を共有していないものの、攻撃の特性は中国関連のアクターである可能性を示唆しているとSecurityWeek紙は指摘。中国の国家支援型ハッカーは主要なまだ開示されていない脆弱性の情報を求めて大手ソフトウェア企業を標的にすることで知られているほか、BIG-IPアプライアンスに対する攻撃への関与が指摘されたこともある。