CISA緊急警告——F5 BIG-IP脆弱性がRCEに再分類、CVSS 9.3
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、F5 BIG-IPの脆弱性CVE-2025-53521をKEV(Known Exploited Vulnerabilities:既知悪用脆弱性)カタログに追加し、連邦政府機関に即時のパッチ適用を指示した。 この脆弱性は当初DoS(サービス拒否)攻撃のみが可能と分類されCVSS v4スコア8.7だったが、実際にはRCE(リモートコード実行)が可能であることが判明し、スコアが**9.3(Critical)**に引き上げられた。
F5 BIG-IPは、Fortune 500企業の48社を含む世界中の政府機関・金融機関・通信事業者のネットワークインフラで広く使用されているアプリケーション・デリバリー・コントローラー(ADC)だ。この脆弱性の深刻度が大幅に引き上げられたことは、すべてのBIG-IP管理者にとって緊急の対応を要する事態を意味する。
CVE-2025-53521とは何か——DoSからRCEへの格上げ
以下の図は、CVE-2025-53521の再分類の経緯と、F5 BIG-IPの影響範囲を示しています。
脆弱性の技術的詳細
CVE-2025-53521は、F5 BIG-IPのiControl RESTインターフェースにおける入力検証の不備に起因する脆弱性だ。
- 初期分類: DoS(サービス拒否)——特定のリクエストを送信することでBIG-IPプロセスがクラッシュ
- 再分類後: RCE(リモートコード実行)——攻撃者が認証なしで任意のコマンドをBIG-IP上で実行可能
- CVSS v4スコア: 8.7(High)→ **9.3(Critical)**に引き上げ
- 攻撃ベクトル: ネットワーク経由、認証不要、ユーザー操作不要
- 影響: 機密性・完全性・可用性のすべてが「High」
なぜ分類が変わったのか
当初、F5のセキュリティアドバイザリはこの脆弱性をDoSに限定する形で公開していた。しかし、セキュリティ研究者やインシデント対応チームの追加調査により、特定の条件下でDoSの範囲を超え、認証なしのリモートコード実行が可能であることが判明した。
脆弱性の分類変更は珍しいことではないが、DoS(CVSS 8.7)からRCE(CVSS 9.3)への格上げは深刻度が大きく異なる。DoSは「サービスを停止させる」だけだが、RCEは「攻撃者がシステムを完全に掌握する」ことを意味するからだ。
F5 BIG-IPとは何か——ネットワークの要衝
F5 BIG-IPは、ネットワークのトラフィック管理を担うアプリケーション・デリバリー・コントローラー(ADC)の業界標準製品だ。
主な機能
- ロードバランシング: Webサーバーへのトラフィックを最適に分散
- SSL/TLSオフロード: 暗号化処理をサーバーから肩代わり
- WAF(Webアプリケーションファイアウォール): SQL injection、XSSなどの攻撃を検知・遮断
- DDoS防御: 分散型サービス拒否攻撃の緩和
- アクセス制御: VPN、認証、シングルサインオン
なぜ「要衝」なのか
BIG-IPはネットワークの「入口」に設置される。すべてのインバウンド・アウトバウンドトラフィックがBIG-IPを通過するため、ここが侵害されると攻撃者はネットワーク内のすべてのトラフィックを傍受・改ざんでき、さらに内部ネットワークへの侵入経路(ピボットポイント)として利用できる。
つまり、BIG-IPのRCE脆弱性は、組織のネットワーク全体が攻撃者に掌握されるリスクと同義だ。
影響を受けるバージョンと対応パッチ
| BIG-IPバージョン | 影響 | 対応パッチ | 状態 |
|---|---|---|---|
| 17.1.x | 脆弱 | 17.1.2.1以降にアップデート | パッチ提供済み |
| 16.1.x | 脆弱 | 16.1.5.2以降にアップデート | パッチ提供済み |
| 15.1.x | 脆弱 | パッチなし | サポート終了(EoL) |
| 14.x以前 | 脆弱の可能性 | パッチなし | サポート終了 |
15.1.x以前のバージョンを使用している場合、パッチは提供されない。 サポート対象バージョン(16.1.x / 17.1.x)への移行が急務となる。
CISAのKEVカタログ追加の意味
CISAがKEVカタログに追加したことは、この脆弱性が実際に攻撃者によって悪用されていることが確認されたことを意味する。
KEVカタログとは
CISAのKEV(Known Exploited Vulnerabilities)カタログは、野生で悪用が確認された脆弱性のリストだ。連邦政府機関にはBOD 22-01(Binding Operational Directive)に基づき、KEVに登録された脆弱性への対応が法的に義務付けられている。
対応期限
KEV追加に伴い、連邦政府機関にはCISAが指定する期限までにパッチ適用またはワークアラウンドの実施が義務づけられた。通常、Critical脆弱性の場合は追加から2-3週間以内の対応が求められる。
なお、民間企業にはBOD 22-01の法的拘束力はないが、CISAは「すべての組織がKEVカタログを脆弱性管理の優先順位付けに活用すべき」と強く推奨している。
F5 BIG-IP脆弱性の歴史——繰り返されるリスク
F5 BIG-IPは過去にも複数の深刻な脆弱性が発見されている。
| CVE | 年 | CVSS | 内容 | 悪用状況 |
|---|---|---|---|---|
| CVE-2020-5902 | 2020 | 9.8 | TMUI RCE | 大規模悪用 |
| CVE-2021-22986 | 2021 | 9.8 | iControl REST RCE | 大規模悪用 |
| CVE-2022-1388 | 2022 | 9.8 | iControl REST認証バイパス | 大規模悪用 |
| CVE-2023-46747 | 2023 | 9.8 | TMUI認証バイパス→RCE | 悪用確認 |
| CVE-2025-53521 | 2025 | 9.3 | iControl REST RCE | 悪用確認 |
BIG-IPは「セキュリティ製品でありながら、そのセキュリティ製品自体が攻撃の標的になる」という皮肉な状況が繰り返されている。特にiControl RESTインターフェースは過去3回にわたり重大な脆弱性が見つかっており、アーキテクチャレベルでの見直しが必要ではないかとの指摘もある。
攻撃シナリオと想定される被害
CVE-2025-53521を悪用した攻撃は、以下のシナリオで展開される可能性がある。
初期侵入
攻撃者は、インターネットに露出しているBIG-IPのiControl RESTエンドポイントに対して、特殊なHTTPリクエストを送信する。認証は不要で、ネットワーク経由でリモートから攻撃可能だ。
権限昇格とラテラルムーブメント
BIG-IPのRCEにより、攻撃者はroot権限でコマンドを実行できる。ここからネットワーク内部への横展開(ラテラルムーブメント)が行われ、Active Directory、データベースサーバー、機密ファイルサーバーなどへの侵入が試みられる。
データ窃取とランサムウェア
最終的に、機密データの窃取やランサムウェアの展開が行われる。BIG-IPがSSL/TLSオフロードを担当している場合、暗号化されたトラフィックの中身(クレジットカード情報、個人情報等)が平文で傍受される可能性もある。
推奨される対応策
以下の図は、CVE-2025-53521への推奨対応フローを示しています。
即時対応(24時間以内)
- パッチの適用: BIG-IP v17.1.2.1以降、またはv16.1.5.2以降にアップデート
- パッチ適用不可の場合のワークアラウンド:
- iControl RESTインターフェースへのアクセスを信頼できるIPアドレスに限定
- 管理ポート(443/TCP)へのインターネットからの直接アクセスを遮断
- セルフIPアドレスでのiControlアクセスを無効化
- IoC(侵害指標)の確認: BIG-IPのログに不審なアクセスパターンがないか確認。特にiControl RESTへの異常なPOSTリクエスト、不明なプロセスの実行、Webシェルの設置痕跡を調査
中期対応(1-2週間)
- 脆弱性スキャンの実施: ネットワーク全体で影響を受けるBIG-IPインスタンスを棚卸し
- ネットワークセグメンテーションの強化: BIG-IPの管理インターフェースを分離されたネットワークセグメントに配置
- 監視の強化: IDS/IPSのシグネチャを更新し、CVE-2025-53521の悪用パターンを検知できるようにする
長期対応
- EoLバージョンの移行計画: v15.1.x以前を使用している場合は、サポート対象バージョンへの移行を計画
- ゼロトラストアーキテクチャの検討: BIG-IPのような「信頼できる境界」に依存するアーキテクチャから、ゼロトラストモデルへの移行を検討
日本への影響——国内のF5 BIG-IP利用状況
日本においても、F5 BIG-IPは広く利用されており、CVE-2025-53521の影響は深刻だ。
国内の利用状況
F5 Networks Japan(F5ネットワークスジャパン)は東京にオフィスを構え、日本市場に直接サービスを提供している。国内の主要利用者は以下のとおりだ。
- 金融機関: メガバンク、証券会社、保険会社のオンラインバンキング基盤
- 通信事業者: NTT、KDDI、ソフトバンクなどのネットワークインフラ
- 官公庁: 省庁のWebシステム、自治体の住民向けサービス
- 大企業: 製造業、小売業の社内・社外向けWebアプリケーション
JPCERT/CCからの注意喚起
JPCERT/CCは、CISAのKEV追加を受けて国内組織に対しても注意喚起を発出する見込みだ。過去のF5脆弱性(CVE-2020-5902、CVE-2022-1388等)でも、JPCERT/CCは迅速に注意喚起を出しており、今回も同様の対応が期待される。
日本の対応の遅れ
懸念されるのは、パッチ適用のスピードだ。過去の事例では、CISAが緊急対応を指示してから数週間〜数ヶ月が経過しても、パッチ未適用のBIG-IPがインターネットに露出しているケースが日本国内でも確認されている。特に中規模企業では、セキュリティ人材の不足やメンテナンスウィンドウの確保が困難といった事情から、対応が遅れがちだ。
多層防御の重要性
BIG-IPの脆弱性に限らず、ネットワーク機器の脆弱性は定期的に発見される。1Passwordのようなパスワードマネージャーで管理インターフェースのクレデンシャルを強化すること、多要素認証を導入すること、ネットワークセグメンテーションを適切に設計することなど、多層防御(Defense in Depth)の考え方が重要だ。
セキュリティ脆弱性管理のベストプラクティス
今回の事例は、脆弱性管理における重要な教訓を含んでいる。
脆弱性の「再評価」を前提にする
CVE-2025-53521のように、初期評価からスコアが大幅に引き上げられるケースは珍しくない。DoSと分類された脆弱性が後にRCEに再分類されることは、セキュリティコミュニティでは「分類の鮮度問題(Classification Freshness Problem)」として知られている。対策としては、初期評価に安心せず、定期的にNVDやCISA KEVを再チェックすることが重要だ。
KEVカタログの活用
CISAのKEVカタログは、脆弱性の優先順位付けにおいて最も信頼性の高いリソースの一つだ。CVSSスコアだけでは「理論上の危険度」しかわからないが、KEVは「実際に悪用されているかどうか」を示す。組織の脆弱性管理プロセスにKEVの監視を組み込むべきだ。
アタックサーフェスの把握
「自社がF5 BIG-IPを使っているかどうかわからない」という状態は論外だ。資産管理とアタックサーフェスの可視化は、脆弱性対応の大前提となる。
まとめ——即時対応のチェックリスト
CVE-2025-53521のRCEへの再分類は、F5 BIG-IPユーザーにとって「今すぐ動くべき」緊急事態だ。以下のアクションを直ちに実行してほしい。
- F5 BIG-IPの使用有無を確認する: 自社のネットワーク機器インベントリを確認し、BIG-IPの存在とバージョンを特定する。特にインターネットに露出しているインスタンスを優先的に調査する
- 即時パッチを適用する: v17.1.2.1以降またはv16.1.5.2以降にアップデート。パッチ適用が即日不可能な場合は、iControl RESTへのアクセス制限を暫定対策として実施する
- 侵害の痕跡を調査する: BIG-IPのログ、プロセスリスト、ファイルシステムに不審な兆候がないか確認する。特にiControl REST APIへの異常なアクセスパターンに注目する
- 脆弱性管理プロセスにKEV監視を組み込む: CISAのKEVカタログのRSSフィードやAPIを活用し、新規追加の脆弱性を自動的にアラートする仕組みを構築する
ネットワーク機器の脆弱性は「見えにくいリスク」だが、BIG-IPのように要衝に位置する機器の侵害は、組織全体のセキュリティに壊滅的な影響を及ぼす。初期分類に安心せず、常に最新の情報を追い続けることが求められる。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星