F5 BIG-IPの乗っ取り脆弱性、期限後の攻撃事例と恒久対策【CVE-2025-53521】
F5 BIG-IP APMにCVSS 9.8の脆弱性CVE-2025-53521。認証不要でRoot権限を奪取可能。CISA KEV登録済みで対応期限は3月30日。影響バージョンと今すぐ取るべき対策を解説。
目次
F5 BIG-IP APMにCVSS 9.8の脆弱性CVE-2025-53521。認証不要でRoot権限を奪取可能。CISA KEV登録済みで対応期限は3月30日。影響バージョンと今すぐ取るべき対策を解説。
CISA期限から2カ月、攻撃は今も続いている
米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が連邦機関に対して「3月30日までに修正せよ」と命じた、F5 BIG-IPのCVE-2025-53521。本記事執筆時点(5月22日)で、期限から約2カ月が経過しました。にもかかわらず、14,000台以上のBIG-IP APMがいまだに公開ネット上に露出しており、攻撃者からの実害報告が継続的に上がっています。
この脆弱性は、認証なし・ユーザー操作なしで、インターネット越しに管理者権限(root権限:管理者のさらに上、何でもできる最高権限)を奪取できるというものです。F5の公式アドバイザリでも当初「サービス停止のみ」とされていましたが、2026年3月に新情報が判明し「リモートコード実行(RCE)」へと格上げされました。CVSSスコアはv3.1で9.8、v4.0で9.3。最大級の深刻度です。
以下、期限後の現在になって観測されている攻撃の中身、自社のBIG-IPがすでに踏まれていないかを確認するための手がかり、そしてパッチが当てられない事情を抱えた機器を当面どう守るか、という順で書いていきます。BIG-IP APMの運用に責任を持っているインフラ担当者やSOC担当者を念頭に置いた内容です。
CVE-2025-53521の概要
| 深刻度 | CVSS 9.8 / 10.0(Critical) |
| 脆弱性の種別 | バッファオーバーフロー(CWE-770) → リモートコード実行(RCE) |
| 攻撃条件 | 認証不要・ユーザー操作不要・ ネットワーク経由で攻撃可能 |
| 影響を受けるコンポーネント | BIG-IP APMのapmdプロセス |
| CISA KEV登録日 | 2026年3月27日 |
| CISA対応期限 | 2026年3月30日(連邦機関向け) |
| 露出機器数 (5月時点) | 14,000台以上が攻撃可能な状態 |
BIG-IP の裏で社員になりすまし、年単位で居座る集団の正体
CISA期限を2カ月過ぎても1万4000台が露出し続けている事実は、純粋な技術論ではなく「誰がこの門番製品を欲しがり続けているか」の現れです。BIG-IP APM は社外と社内の境界に立つ門番なので、ここを抜けるとはセッション付きの社員IDをそのまま手にすることを意味します。
この門番の通過券を取りに来るのは、技術的な好奇心で動く層ではなく、長期居座りを商売にする集団です。中国・ロシア・北朝鮮系のAPT集団、企業VPN経由で本丸を侵食するランサムウェアアフィリエイト、ネットバンキング基盤を狙う金融サイバー犯罪組織、防衛・電力・水道などOT環境への足場を切り売りする初期アクセスブローカー、そして上場企業の決算前資料を抜きたい産業スパイが並びます。彼らが BIG-IP の裏で取りに行くのは、Kerberos チケット、SAML アサーション、社員VPNセッションの中身、AD ドメインコントローラへの踏み台アカウント、社内Webアプリのリバースプロキシ越しに見える人事・経理 DB、基幹システム管理者しか触れない取引履歴と顧客台帳です。CVE-2025-53521 で apmd を踏むと、認証画面を一切経ずに「正規ログイン直後の社員」として社内ネットの内側に立てるため、IDフィッシングや MFA 突破を一切迂回した状態でいきなり業務システムへ手が伸びます。外形監視には正規ユーザの操作にしか見えません。
認証プロキシ製品の侵害は、フィッシングのように1台ずつ社員PCを落とすやり方とは設計思想が違います。入口を1機まとめて取れば、その後ろに繋がる SaaS、社内Webアプリ、VDI のセッションを横一線で乗っ取れる構造になるからです。今回観測されている「Brickstorm」バックドアは、ファームウェアパッチを当てた後でも SSH 公開鍵経由で再侵入できるよう設計されており、運用チームに完全に気付かれないまま社内トラフィックを月単位で盗聴・改変するための「恒久ポスト」として植え付けられています。CISA が3月30日という極端に短い修正期限を設定し、2カ月経っても警告を取り下げないのは、攻撃の主目的が単発の窃取ではなく拠点化にあるからです。BIG-IP を入れているのは政府・金融・大手製造の中核ITばかりで、一度抜かれた拠点はそのまま情報源として運用され続けます。
CVSS 9.8 が示すのは技術的な深刻度の上限値です。ただ、BIG-IP APM を抱える運用チームにとって本当に重い損失は、機器の root が抜かれること自体ではなく、社員に化けた侵入者が AD と業務システムの奥に静かに居座り、顧客情報・取引履歴・人事データの持ち出しが月単位・年単位で継続する「気付けないリーク状態」へ陥ることです。
期限後に確認された攻撃事例とIoC
CISA期限直後の3月31日、調査会社が世界中のインターネット空間を網羅的にスキャンし、17,100台以上のBIG-IP APMが応答することを確認。そのうち14,000台以上は脆弱バージョンを動かしたまま、無防備に公開されていました。オランダ国家サイバーセキュリティセンター(NCSC-NL)と英国NHS Digitalは、自国内での悪用試行を観測したと公表しています。
確認された攻撃の流れ
期限後に観測されている攻撃は、セキュリティ企業Hadrianの分析によると概ね決まった筋で進みます。まず攻撃者はGET /mgmt/shared/identified-devices/config/device-infoエンドポイントを叩いてBIG-IP APMの存在とバージョンを特定し、脆弱と判明したら細工したHTTP/2リクエストでapmdプロセスにバッファオーバーフローを起こします。ここでroot権限で/bin/bashが走った瞬間、機器は事実上落ちたと見ていい。
そこから先は持続化フェーズで、/root/.ssh/authorized_keysに攻撃者の公開鍵が追記されるか、/run/bigtlog.pipeを通じてメモリ常駐型のWebシェルが仕込まれます。検出を逃れるために/usr/bin/umountや/usr/sbin/httpdといったシステムバイナリが改ざんされるケースも複数報告されており、最後に非標準ポート(8443や9443)経由で外部のC&C;サーバへ繋ぎ込みます。BIG-IP本来の管理通信に紛れ込ませた巧妙な経路で、表面的なフロー監視では見落としやすい設計になっています。
IoC(侵害の痕跡)リスト
自社環境が侵害されているかを確認するためのIoC(Indicators of Compromise)を整理します。SOCチームはこれらをSIEMの検知ルールに追加してください。
| カテゴリ | 確認項目 |
|---|---|
| ファイル系 | /root/.ssh/authorized_keys に予期しない公開鍵/run/bigtlog.pipe の存在システムバイナリのハッシュ不一致 |
| プロセス系 | apmdプロセスが /bin/bash や /bin/sh を起動apmdが標準パス外のバイナリを実行 |
| ネットワーク系 | 非標準ポート(8443、9443)への外向きHTTPSdevice-info エンドポイントへの大量GET外部IPへの継続的な大容量データ転送 |
| ログ系 | SELinuxの無効化記録 新規ユーザーアカウントの作成 /etc/init.d/ 配下の最近の変更 |
攻撃者の正体 ― Brickstormバックドアの再来
Help Net Securityの調査によると、CVE-2025-53521を悪用する攻撃者は、F5本体への侵入を実行した国家支援アクターと関連性があると見られています。F5の内部環境には少なくとも12カ月間にわたって攻撃者が潜伏し、「Brickstorm」と呼ばれるバックドアを展開していました。後に中国系のグループとの関連が判明したと報じられています。
つまり、CVE-2025-53521を作り出した脆弱性情報を「最も早く知っていた」のは攻撃者側です。F5がパッチを公開した瞬間から、攻撃者は手元のソースコード解析結果を使って即座に武器化を完了させました。これが「期限から2カ月経ったのに攻撃が続いている」ことの背景です。
自分の環境は影響を受けるのか
影響を受けるのはBIG-IP APM(Access Policy Manager)が有効な仮想サーバーだけです。BIG-IP LTM(ロードバランサー)やBIG-IP ASM(WAF)のみを使っている環境は対象外です。
| 影響を受けるバージョン | 修正バージョン |
|---|---|
| 15.1.0 〜 15.1.10 | 15.1.10.2以降 |
| 16.1.0 〜 16.1.6 | 16.1.4.3以降 |
| 17.1.0 〜 17.1.2 | 17.1.0.4以降 |
| 17.5.0 〜 17.5.1 | 17.5.2以降 |
日本国内では、BIG-IPは金融機関(メガバンク、地方銀行、証券会社)、通信事業者(NTT系列、KDDI、ソフトバンク等)、大企業のデータセンター、政府機関・自治体で広く使われています。富士通をはじめとする販売パートナー経由で導入されているケースが多く、自社でBIG-IPを使っている認識がなくても、運用委託先のインフラに含まれている可能性があります。
サポートが終了した古いバージョン(EoTS:End of Technical Support)は評価対象外で、修正パッチも提供されません。もしEoTSに達したBIG-IPをまだ使っているなら、パッチ適用ではなく機器のリプレース計画を立てる必要があります。後述の恒久対策セクションで対応方法を解説します。
恒久対策 ― パッチが間に合わない/不可能な機器を守る
最優先はもちろん修正バージョンへのアップデートです。しかし「変更管理の都合でパッチが当てられない」「EoTSバージョンで修正パッチが出ない」「業務影響を懸念して長期停止できない」といった状況で、パッチが即座に当たらない現場も少なくありません。そうした環境向けに、多層防御で攻撃面積を絞る恒久対策をまとめます。
管理面の遮断とHTTP/2の見直し
最も効果が大きいのは、BIG-IP APMの管理インターフェース(ポート443/8443)をインターネットから直接見えなくすることです。ファイアウォールで遮断し、社内の踏み台サーバ経由でしか管理操作ができない構成に切り替える。VPNやリモートアクセスの入口になっているAPM Access Policyは消せませんが、IPアドレスの許可リストを当て、CDNやWAFの前段でGET /mgmt/shared/identified-devices/config/device-infoへのアクセスを落とすだけでも、偵察フェーズを止められます。
CVE-2025-53521はHTTP/2プロトコル経由で発火するため、運用上HTTP/2が要らない環境ならVirtual ServerのプロファイルからHTTP/2を外しておく価値があります。HTTP/1.1だけ許可する設定に変えるだけで、攻撃成功率は大きく下がります。APM Access Policyが不要な仮想サーバーで残っているなら、APMプロファイルそのものを外して、純粋なロードバランシングだけに切り離してしまうのが確実です。
パッチ後も続ける侵害検知
パッチを当てたあとも、既に踏まれていた機器では攻撃者のアクセスが残ったままになります。BIG-IPのログを外部SIEM(SplunkやSentinel)へ常時転送して、apmdプロセスからの異常起動やauthorized_keysの変更を即座にアラートに上げる仕組みは、パッチと同時に組んでおきたいところです。並行してAIDEやTripwireで/usr/bin/umountや/usr/sbin/httpdのハッシュを定期検証する。iControl REST APIの監査ログを有効化して、管理者範囲外からの呼び出しを記録できる状態にしておく。この3つが揃って、ようやく「パッチを当てた」と言えるラインに乗ります。
管理アクセスそのものにも多要素認証を入れて、パスワードだけで管理ログインできる状態を残さないこと。SSH鍵+ハードウェアトークンが理想です。管理ユーザーの権限分離も併せて見直し、一つのアカウントが破られても被害範囲が局所化される設計にしておきます。
EoTS機器のリプレース計画
サポートが切れたBIG-IPを使っているなら、もう守りようがありません。出口は現実的に三方向あって、一つはサポート対象である15.1.x・16.1.x・17.1.x・17.5.xへの計画的なアップグレード。これが最短で、数カ月スパンで予算化していく形になります。もう一つはF5の次世代プラットフォームBIG-IP NEXTへの全面リプレース。アーキテクチャ刷新を含むので工数は重いものの、長期的な維持コストは下がります。最後が「脱F5化」――APM機能をCloudflare AccessやZscaler Private Access、OktaなどのZero Trust製品で置き換え、ロードバランサー機能はAWS ALBやCloudflare Load Balancingへ寄せる、という戦略的撤退です。
いずれを選ぶにしても、EoTS機器のリプレースは「いつかやる」ではなく今期の予算で動かすべき項目です。F5の内部から窃取されたソースコード情報を使って、攻撃者は今後も新たな脆弱性を見つけ続けます。
この脆弱性が「いつもと違う」理由(背景)
この脆弱性が特に深刻なのは、背景に国家支援型の攻撃者によるF5の内部環境への侵入があるからです。2025年8月、攻撃者がF5の内部開発環境に長期間にわたって侵入していたことが判明しました。Palo Alto Networks Unit 42の報告によると、攻撃者はBIG-IPのソースコードの一部、未公開の脆弱性情報、設定や実装に関するナレッジベースを窃取しました。
ソースコードが盗まれたことの意味は大きい。通常、公開された脆弱性を攻撃に使えるように加工する(「武器化」)には数カ月かかります。しかしソースコードがあれば、コードを読んで脆弱な箇所を直接見つけられるため、Qualysの分析によれば武器化の速度が「数カ月から数時間〜数日」に短縮される恐れがあります。CVE-2025-53521の「サービス停止のみ」から「RCE」への再分類も、攻撃者側がより深い理解を持っていたことを示唆しています。
F5は2025年10月15日に侵害を公式に認め、同時に44件の脆弱性の修正パッチをリリースしました。CISAは同月に緊急指令ED 26-01を発出。CVE-2025-53521のRCE再分類はその5カ月後でしたが、それまでに既に攻撃の準備は整っていたわけです。
BIG-IPは過去にも狙われてきた
2023年10月に公開されたCVE-2023-46747(CVSS 9.8、認証バイパスによるRCE)は、中国関連とされる脅威アクター「UNC5174」が米国の防衛請負業者、英国政府機関、アジアの機関への侵入に使用しました。このアクターは「初期アクセスブローカー」として、侵入した企業へのアクセス権を他の犯罪者に売買していたことも確認されています。
厄介なのは、パッチの適用速度がむしろ悪化していることです。Qualysの調査によると、組織の50%がパッチを適用するまでの中央値は、2020年のCVE-2020-5902では21日だったのが、2023年のCVE-2023-46748では175日に悪化しています。
| CVE | 年 | 内容 | パッチ適用 中央値 |
|---|---|---|---|
| CVE-2020-5902 | 2020年 | TMUI RCE(CVSS 9.8) | 21日 |
| CVE-2023-46747 | 2023年 | 認証バイパス RCE(CVSS 9.8) | ― |
| CVE-2023-46748 | 2023年 | SQLインジェクション | 175日 |
| CVE-2025-53521 | 2025年 | APM RCE(CVSS 9.8) | 期限後2カ月で 14,000台が未修正 |
攻撃者が脆弱性を悪用する速度は上がっているのに、防御側のパッチ適用は遅くなっている。この構造的なギャップが、BIG-IPへの攻撃が繰り返される根本原因です。
これからどうなるのか
CISAの緊急指令ED 26-01は連邦機関を対象としたものですが、その影響は民間にも及びます。連邦機関と取引のある企業やサプライヤーにとっては、BIG-IPの脆弱性を放置していること自体が契約上のリスクになります。
内閣官房 国家サイバー統括室も2025年12月に注意喚起を出しています。日本企業も同じ緊急度で動くべきです。
今回のケースの教訓は、「ベンダー自身がハッキングされると、そのベンダーの製品を使っている全員がリスクにさらされる」ということです。F5のソースコードが盗まれたことで、今後も新たな脆弱性が攻撃者側から先に見つかる可能性があります。BIG-IPを使っている組織は、パッチが出たら即座に適用する体制と、パッチに頼らない多層防御の両方を、今のうちに作っておく必要があります。175日待っていては間に合いません。
参照元
- ― NVD - CVE-2025-53521
- ― F5 Security Advisory K000156741
- ― F5 Quarterly Security Notification(October 2025)
- ― CISA Known Exploited Vulnerabilities Catalog
- ― CISA Emergency Directive ED 26-01
- ― Palo Alto Networks Unit 42 - Nation-State Actor Steals F5 Source Code
- ― Qualys - F5 BIG-IP Strategic Breach Response
- ― Hadrian - F5 BIG-IP APM Remote Code Execution: CVE-2025-53521 Active Exploitation
- ― Help Net Security - Attackers are exploiting CVE-2025-53521
- ― Security Affairs - 14,000 F5 BIG-IP APM Instances Remain Exposed
- ― Cybersecurity News - 14,000+ F5 BIG-IP APM Devices Exposed Online
- ― Dark Reading - F5 BIG-IP Vuln Reclassified as RCE
- ― 富士通 - F5社セキュリティインシデント告知
- ― 内閣官房 国家サイバー統括室 - F5製品の脆弱性(第2報)
堀川 慎
Backend Engineer / AWS / Django / Go
