CISA「容認できないリスク」 F5製BIG-IP侵入事件を受け全連邦機関に即時対応命令：セキュリティニュースアラート

CISAは、F5製のBIG-IPなどに深刻な脆弱（ぜいじゃく）性が存在するとし、連邦機関に緊急指令を発出した。全機関に点検や更新、報告を義務付け、未対応機器の遮断を求めている。同指令はF5のシステムへの脅威アクターによる不正侵入を受けてのものだ。

[後藤大地，ITmedia]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2025年10月15日（現地時間、以下同）、F5製ネットワーク機器およびソフトウェア製品に関する深刻な脆弱（ぜいじゃく）性を受け、連邦政府機関に対し緊急指令「Emergency Directive（ED）26-01」を発出した。

　対象は米国連邦民間行政機関（FCEB）の情報システムとされ、機関が使用するF5製BIG-IPシリーズを中心に、即時の点検と更新を求める内容となっている。

CISA「容認できないリスク」　F5製品点検命令、日本企業も要注意喚起

　今回の指令は、国家的な関与が疑われるサイバー脅威アクターによる侵入事案を受けて発令されている。CISAによると該当アクターはF5のシステムに不正侵入し、BIG-IPの一部ソースコードや脆弱性に関する情報を窃取したという。この情報流出により、攻撃者がF5製品の構造を解析し、論理的な欠陥や未知の脆弱性（ゼロデイ脆弱性）を特定し、標的型攻撃コードを作成する可能性が高まっている。

　CISAは、この脅威を連邦政府ネットワーク全体にとって差し迫った危険と判断した。F5製品の脆弱性を攻撃者が悪用した場合、組み込み認証情報やAPIキーに不正アクセスし、組織内部で横方向に侵入を拡大させ、機密データの流出や恒久的なシステム支配に至る恐れがある。CISAはこの状況を「容認できないリスク」と位置付け、全機関に対し即時の対応を命じている。

　対象となる製品は「BIG-IP iSeries」「rSeries」などのハードウェア機器、ならびに「BIG-IP（F5OS、TMOS）」「BIG-IP Next」「BIG-IQ」「BIG-IP Next for Kubernetes（BNK/CNF）」を含む全ソフトウェア群としている。サポート終了済みのF5機器も指令の対象とされている。

　CISAは各機関に、まず全F5製品の在庫を特定し、ネットワーク管理インタフェースが外部インターネットから直接アクセス可能かどうかを確認するよう命じている。公開状態にあると判明した機器については、CISAの拘束力のある運用指令（BOD）23-02「インターネット公開管理インタフェースのリスク軽減」に基づく措置を実施し、報告する必要がある。

　加えて、各機関は2025年10月22日までにF5社が提供する最新版ソフトウェアを適用するよう指示している。更新対象はF5OS、BIG-IP TMOS、BIG-IQ、BNK/CNFであり、適用前にF5が公開しているMD5チェックサムによるファイル検証を実施することが求められている。管理インタフェースが限定的な管理ネットワークにのみ接続され、ジャンプボックス経由でしかアクセスできない構成の機器については、従来の更新スケジュールを維持していいとされている。

　2025年10月31日までには全てのF5物理・仮想デバイスに対し最新のパッチを適用し、F5社が提供する強化ガイドラインを実施することが義務付けられている。以降、ベンダーが新たな更新を発表した際には、1週間以内に適用する必要がある。

　サポートが終了したF5機器については、即時にネットワークから切断し、廃止することが求められている。業務上の理由などで直ちに切断ができない場合、各機関はCISAに対し、該当機器を保持する理由と将来的な廃止計画を報告しなければならない。

　CISAがBIG-IPに関するCookie情報漏えいの脆弱性を通知した場合、各機関はCISAの指示に従って速やかに緩和措置を実施することが求められている。また報告義務も定められており、全ての連邦機関は2025年10月29日までに対象製品の概要報告を同年12月3日までに詳細な在庫報告を提出しなければならない。報告はCISAが提供する統一テンプレートを使用する。

　CISAは今後、各機関からの報告を基に対応状況を分析し、侵害事例の特定および追加指針の発出を継続する。2026年3月1日までに国土安全保障長官、国家サイバー長官、行政管理予算局長官、連邦最高情報責任者などに対し、指令の実施状況報告を提出する予定となっている。

　今回の緊急指令は、連邦情報システムの防御態勢を維持するうえで不可欠な措置とされ、全ての関係機関に対し迅速かつ正確な対応を求める内容となっている。国家的規模のサイバー攻撃による被害拡大を抑止し、重要インフラを保護することが目的とされている。

　CISAが示した対策内容は米国連邦政府機関を対象としたものだが、F5製品は世界各国の官公庁や民間企業でも広く利用されており、日本企業や組織にとっても参考となる。特にネットワーク機器の管理インタフェースを外部から隔離し、適切なパッチ管理を実施する点は、国内のシステム運用者にとっても有効なセキュリティ実践といえる。CISAが示した緊急対応手順やリスク評価の方法は、国境を越えてサイバー防御体制を強化する上で重要な指針となる。