【緊急】F5 BIG-IPに認証不要の乗っ取り脆弱性、CISA期限は3月30日

F5 BIG-IPに何が起きたのか

F5 Networksのロードバランサー製品「BIG-IP APM」に、CVSS 9.8（最大10.0）の脆弱性が見つかりました。CVE-2025-53521として登録されたこの欠陥は、認証なし・ユーザー操作なしで、インターネット越しにRoot権限（管理者のさらに上、何でもできる最高権限）を奪取できるというものです。

BIG-IP APMは、企業や官公庁が「社員のリモートアクセスを管理する」ために使う製品です。VPN接続やシングルサインオンの入口に置かれることが多く、インターネットに直接さらされています。つまり、攻撃者が最初に狙う場所にあります。

米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2026年3月27日、この脆弱性をKEV（Known Exploited Vulnerabilities：実際に悪用が確認された脆弱性）カタログに追加しました。「実際に攻撃に使われている」ことが確認されたという意味です。連邦機関への対応期限は3月30日。わずか3日間です。

技術的には、BIG-IP APMのTMM（Traffic Management Microkernel）というコア部分にバッファオーバーフローがあります。HTTP/2プロトコルが有効な環境で、たった1つの不正なリクエストを送るだけでTMMが停止し、BIG-IP APMに依存する数千人のリモートアクセスが一斉に遮断されます。さらに悪用すればRoot権限で任意のコードを実行できます。

自分の環境は影響を受けるのか

影響を受けるのはBIG-IP APM（Access Policy Manager）が有効な仮想サーバーだけです。BIG-IP LTM（ロードバランサー）やBIG-IP ASM（WAF）のみを使っている環境は対象外です。

サポートが終了した古いバージョンは評価対象外です。もしEoTS（End of Technical Support）に達したバージョンを使っているなら、パッチ以前にバージョンアップが必要です。

日本国内では、BIG-IPは金融機関（メガバンク、地方銀行、証券会社）、通信事業者（NTT系列、KDDI、ソフトバンク等）、大企業のデータセンター（ロードバランサー、WAF、SSL-VPN）、政府機関・自治体で広く使われています。富士通をはじめとする販売パートナー経由で導入されているケースが多く、自社でBIG-IPを使っている認識がなくても、運用委託先のインフラに含まれている可能性があります。

今すぐやるべきこと

CISAの対応期限は3月30日です。連邦機関向けの期限ですが、日本の組織にとっても「実際に攻撃が起きている」以上、同じ緊急度と考えるべきです。

まず、F5の公式アドバイザリ（K000156741）を確認してください。自社環境のBIG-IP APMバージョンが影響範囲に含まれているかどうかを特定し、含まれていれば修正バージョンへアップデートしてください。

次に、侵害の痕跡がないかを確認してください。インターネットに面したBIG-IPのログを精査し、不審なHTTP/2リクエストやTMMの異常停止がなかったかを調べます。すでに侵害されていた場合、パッチを当てただけでは攻撃者のアクセスは残ったままです。

パッチ適用がすぐにできない場合は、APM Access Policyが不要な仮想サーバーからAPMプロファイルを外す、HTTP/2を無効化する、外部からのアクセスをIPアドレスで制限するといった緩和策を検討してください。ただし、これらはあくまで時間稼ぎであり、パッチ適用の代わりにはなりません。

内閣官房 国家サイバー統括室も2025年12月に注意喚起を出しています。組織のセキュリティ担当者は、この注意喚起と合わせて対応を進めてください。

なぜこの脆弱性は「いつもと違う」のか

この脆弱性が特に深刻なのは、背景に国家支援型の攻撃者によるF5の内部環境への侵入があるからです。

2025年8月、国家の支援を受けた脅威アクター（国名は公開されていません）がF5の内部開発環境に長期間にわたって侵入していたことが判明しました。Palo Alto Networks Unit 42の報告によると、攻撃者はBIG-IPのソースコードの一部、未公開の脆弱性情報、設定や実装に関するナレッジベースの情報を窃取しました。

ソースコードが盗まれたことの意味は大きいです。通常、公開された脆弱性を攻撃に使えるように加工する（「武器化」と呼びます）には数カ月かかります。しかしソースコードがあれば、コードを読んで脆弱な箇所を直接見つけられるため、Qualysの分析によれば武器化の速度が「数カ月から数時間〜数日」に短縮される恐れがあります。

F5は2025年10月15日に侵害を公式に認め、同時に44件の脆弱性の修正パッチをリリースしました。今回のCVE-2025-53521はその中の1つですが、公開から約5カ月後の2026年3月27日にCISA KEVに追加されたということは、この5カ月の間に実際の攻撃が確認されたことを意味しています。

CISAは2025年10月に緊急指令ED 26-01を発出し、連邦機関に対してF5全製品のパッチ適用を義務付けています。

なお、NGINX、Distributed Cloud Services、Silverlineなど、F5が提供する他の製品やサービスはこの侵害の影響を受けていないとF5は説明しています。

F5 BIG-IPは過去にも狙われてきた

BIG-IPの脆弱性が攻撃に悪用されるのは今回が初めてではありません。

2023年10月に公開されたCVE-2023-46747（CVSS 9.8、認証バイパスによるRCE）は、中国関連とされる脅威アクター「UNC5174」が米国の防衛請負業者、英国政府機関、アジアの機関への侵入に使用しました。このアクターは「初期アクセスブローカー」として、侵入した企業へのアクセス権を他の犯罪者に売買していたことも確認されています。

厄介なのは、パッチの適用速度がむしろ悪化していることです。Qualysの調査によると、組織の50%がパッチを適用するまでの中央値は、2020年のCVE-2020-5902では21日だったのが、2023年のCVE-2023-46748では175日に悪化しています。

攻撃者が脆弱性を悪用する速度は上がっているのに、防御側のパッチ適用は遅くなっている。この構造的なギャップが、BIG-IPへの攻撃が繰り返される根本原因です。

今後どうなるのか

CISAの緊急指令ED 26-01は連邦機関を対象としたものですが、その影響は民間にも及びます。連邦機関と取引のある企業やサプライヤーにとっては、BIG-IPの脆弱性を放置していること自体が契約上のリスクになります。

今回のケースの教訓は、「ベンダー自身がハッキングされると、そのベンダーの製品を使っている全員がリスクにさらされる」ということです。F5のソースコードが盗まれたことで、今後も新たな脆弱性が攻撃者側から先に見つかる可能性があります。BIG-IPを使っている組織は、パッチが出たら即座に適用するという体制を今のうちに作っておく必要があります。175日待っていては間に合いません。

参照元

• ― NVD - CVE-2025-53521
• ― F5 Security Advisory K000156741
• ― F5 Quarterly Security Notification（October 2025）
• ― CISA Known Exploited Vulnerabilities Catalog
• ― CISA Emergency Directive ED 26-01
• ― Palo Alto Networks Unit 42 - Nation-State Actor Steals F5 Source Code
• ― Qualys - F5 BIG-IP Strategic Breach Response
• ― Google Cloud - Initial Access Brokers Exploit F5 BIG-IP
• ― 富士通 - F5社セキュリティインシデント告知
• ― 内閣官房 国家サイバー統括室 - F5製品の脆弱性（第2報）
• ― Security NEXT - F5にサイバー攻撃