世界で最も重要なネットワークの一部を守るテクノロジーを提供する企業が侵害されたとき、セキュリティコミュニティ全体が注意を払うべきです。2025 年 10 月 15 日、F5 NetworksはSEC 8-Kで、国家主体が疑われる脅威アクターに起因するネットワーク侵害を受けたと開示しました。
報告によると、攻撃者は最長 1 年にわたり F5 の本番環境への永続的アクセスを維持し、BIG-IP の独自ソースコードや顧客の設定データを窃取しました。F5 の製品は世界のエッジネットワーキングやアプリケーション配信基盤の多くを支えていることから、この侵害は単なるベンダーの問題にとどまりません。クラウドとオンプレミスを結ぶ“最前線 (エッジ)”こそが新たな脅威の焦点となっている現実を示すシグナルです。
エッジがエントリーポイントになるとき
F5 の調査では、侵入者が BIG-IP、F5OS、および関連製品の構築・管理に用いられるシステムに長期かつ秘匿的にアクセスしていたことが判明しました。顧客の実装データの一部も持ち出され、国家安全保障上の影響が懸念されたため、米司法省の承認のもとで公表は遅らせられました。
この攻撃は単一の脆弱性を狙ったものではありません。持続的なアクセス、つまり脅威アクターが組織の最高権限システムという信頼された基盤に静かに潜り込むという点が問題でした。これは、最も強力な境界技術でさえ、それ自体が攻撃対象になり得ることを示しています。
F5流出事件の内幕
F5の8-Kと公式声明によると:
- 攻撃者は F5 の BIG-IP 製品開発環境に長期的アクセスを取得・維持していた。
- ソースコード、内部文書、および一部の顧客構成データを流出させた。
- 侵害は発見の最大12か月前に始まっていた可能性がある。
- F5 は CrowdStrike、Mandiant、NCC Group、IOActive を招き、フォレンジック調査・封じ込め・サプライチェーンの完全性検証を実施中。
While F5 reports no active exploitation of undisclosed vulnerabilities, the risk is real. Source code theft combined with infrastructure details provides attackers with a blueprint for exploitation—especially when targeting critical edge devices used across enterprises and government agencies.
エッジインフラが新たな戦いの場となる理由
ハイブリッド時代において、F5 BIG-IP のようなエッジネットワーク機器は、アイデンティティ・ネットワーク・アプリケーショントラフィックの交差点に位置します。SSL セッションを終端し、認証フローを管理し、プライベート環境とパブリッククラウドを接続します。
That power also makes them prime targets. Once an attacker compromises an edge device or the infrastructure that builds it, they can gain access to privileged credentials, encrypted traffic, and lateral movement paths invisible to endpoint tools.
IDC とパートナーによる調査では、エッジの可視性に関する課題が依然として存在し、組織が侵入後の巧妙な活動に晒されていることが示されています。
具体的には、次のような状況です。
エッジインフラはもはや「防御層」ではなく、新たな攻撃対象そのものになっています。
より大きな視点:国家・企業レベルのリスク
F5 事案は、攻撃者がデジタルインフラの結合組織を狙っているという、より大きな真実も示します。ソースコード流出と公表遅延の組み合わせは、同じテクノロジーが連邦ネットワーク、防衛システム、主要クラウドプロバイダーを保護していることから、国家安全保障上の側面を示唆します。
攻撃者がエッジシステムの運用方法に関する内部情報を入手した場合、ゼロデイ攻撃を仕掛けたり、サプライチェーンの更新情報を侵害したりすることで、従来の制御を完全に回避することが可能になります。
企業にとって、これはセキュリティの境界が消滅しつつあることを意味します。トラフィックを保護するために設計されたツールが、今や脅威の標的となっているのです。
セキュリティギャップ:なぜ従来の防御は失敗するのか
今回のF5の侵害は、アンチウイルス、EDR、パッチ適用ツールでは検知されませんでした。これが重要な点です。
- エンドポイントエージェントは ネットワークアプライアンス上では動作しません。
- SIEMはログに依存しますが、ログはラテラルムーブメントを捕捉できない可能性があり、改ざんされる可能性もあります。
- クラウドセキュリティツールは、物理または仮想エッジファブリックではなく、クラウドコントロールプレーンを監視します。
これにより可視性ギャップが生じます。攻撃者は、有効な認証情報、API、またはサービスアカウントを使用して、「信頼できる」ゾーン内で数か月間活動を続けますが、シグネチャベースのアラートはトリガーされません。
その結果、1年間もアクセスが検知されず、攻撃者はデータを盗み出し、ステルスで操作を監視し続けることになります。
Vectra AIがエッジセキュリティのギャップを埋める方法
Vectra AI は、従来のツールでは対応できないことを組織が把握できるよう支援します。当社のプラットフォームは、エージェントレスの AI主導の検知機能を提供し、ネットワーク、アイデンティティ、クラウド環境全体にわたる振る舞いを継続的に分析します。これらは、攻撃者が侵入後に悪用する領域です。
F5 のようなエッジテクノロジーをご利用のお客様にとって、真の懸念は、攻撃者がどのように侵入するかだけでなく、その後に何が起こるかです。攻撃者が盗んだエクスプロイトを使用するか、バックドアを仕掛けてエッジシステムからお客様のネットワークに侵入するかに関わらず、Vectra AI は影響段階に達する前にその活動を検知します。
当社のブログ「ゼロデイ攻撃のネットワークエッジ機器への攻撃:NDRが重要な理由」では、攻撃者が複数のベンダーのファイアウォール、VPN、ルーターの脆弱性を悪用し、信頼された境界デバイスを企業ネットワークへのステルス拠点に変えた方法について説明しました。
だからこそ、ネットワーク検知とレスポンス (NDR) が不可欠なのです。 Vectra AIは、以下の点を継続的に監視します。
- ハイブリッド環境内における永続化と情報漏洩の挙動(マルウェアが存在しない場合でも)。
- エッジとデータセンターのトラフィックを監視し、侵害を示唆する隠蔽された通信や権限昇格を特定します。
- ネットワークアクティビティと相関関係にあるIDの不正使用(サービスアカウントやトークンの盗難など)を検出し、個別のアラートではなく真の攻撃挙動を明らかにします。
Vectra AIプラットフォーム は、セキュリティチームが真の脅威を迅速に優先順位付けし、長期的な侵入を助長する可視性のギャップを解消することを可能にします。
見る、検知する、対応する - より速く
自社環境で同様の攻撃者行動が見られないかを調べたい場合は、Vectra AI プラットフォームの AI-Assisted Search をご覧ください。これは、質問を瞬時に回答へと変える最速の方法です。
AI-Assisted Search では、調査やハンティングの質問を自然な言葉で入力すると、ネットワーク・アイデンティティ・クラウドのAI強化メタデータに基づいた即時かつ文脈豊かな回答が得られます。結果を示すだけでなく、推奨される次のステップも提示し、熟練アナリストのように追跡を進めることができます。
以下を試してみてください:
- 「一般的でないポートを使って外部IPと通信しているシステムを表示して」
- 「業務時間外にネットワーク機器コンソールへアクセスしたアカウントを一覧して」
永続化の追跡、脆弱性への露出確認、エッジデバイスの不正利用防止など、AI-Assisted Search は 質問するスピードで可視化と洞察を提供し、あらゆる脅威の背後にある全体像を明らかにします。
Vectra AI プラットフォームで AI-Assisted Search を体験し、ガイド付きの高速調査が従来ツールでは見逃していた脅威をどのように検知できるかをご覧ください。セルフガイドデモをご覧ください。