[F5 BIG-IP]にサイバー攻撃、米政府が緊急指令。サプライチェーン攻撃でソースコード流出か

米国のサイバーセキュリティ・社会基盤安全保障庁（CISA）は、国家が支援するハッカーがF5社製品の脆弱性を悪用し、米政府のシステムに「差し迫ったリスク」をもたらしていると警告した。

これに先立ち、F5社はネットワークへの不正侵入により、「BIG-IP」のソースコードや未公開の脆弱性情報、一部の顧客データが盗まれたと発表し、45件の修正パッチを公開した。CISAは全米連邦機関に対し、10月22日までにアップデートを完了するよう緊急指令を発出。

CISA高官のニック・アンダーセン氏は、政府機関閉鎖が続く中での対応について、責任は民主党にあると非難した。

From: [translate:CISA exec blames nation-state hackers and Democrats for putting America’s critical systems at risk]

【編集部解説】

「またサイバー攻撃か」と思った方も多いかもしれません。しかし、今回の事件は単なるデータ流出とは次元が異なります。これは、現代社会の根幹を揺るしかねない「サプライチェーン攻撃」の深刻さを、改めて私たちに突きつけるものです。

まず、攻撃対象となったF5社の「BIG-IP」について解説します。これは、大企業や政府機関のネットワークにおける”交通整理”と”警備”を一手に行う、極めて重要な製品です。ウェブサイトや社内システムへの大量のアクセスを効率よくさばき、同時に外部からの攻撃を防ぐ役割を担っています。Fortune 500企業や世界中の政府機関など、数多くの重要組織がこの製品に依存しているのが実情です。

今回の攻撃が特に危険なのは、盗まれたものが「BIG-IPの設計図（ソースコード）」と、まだ世に知られていない「未公開の脆弱性情報」だった点にあります。これは、金庫の設計図と、これから修理する予定だった警備システムの欠陥リストが、同時に強盗の手に渡ったようなものです。メーカーが対策を講じる前に、攻撃者が抜け穴を正確に狙い撃ちできる「ゴールデンタイム」を与えてしまったことを意味します。

このようなサプライチェーン攻撃は、2025年に入り急増している脅威の一つです。かつての[translate:SolarWinds]事件のように、一つのソフトウェアベンダーを攻略することで、その製品を利用する数千の組織へ一気に侵入経路を確保する、非常に効率的で破壊的な手法なのです。私たちが日常的に信頼しているソフトウェアそのものが”トロイの木馬”になり得るという、デジタル社会における信頼の根幹を揺るがす問題だと言えるでしょう。

この事態を「差し迫ったリスク」と判断した米国のサイバーセキュリティ当局CISAが「緊急指令」を発令し、政府機関に対して10月22日までの迅速なパッチ適用を命じたことからも、その脅威の大きさがうかがえます。政府機能の一部が停止している中での異例の対応であり、国家レベルの危機として認識されている証左です。

この一件は、今後のテクノロジー社会に何を問いかけているのでしょうか。それは、ソフトウェアの「中身」に対する透明性の確保です。今後は、製品にどのような部品（コンポーネント）が使われているかを示す「SBOM（ソフトウェア部品表）」のような仕組みが、より一層重要視されることになるでしょう。また、自社のセキュリティ対策だけでなく、取引先や利用するサービス全体の安全性を評価する「サードパーティリスク管理」が、あらゆる組織にとって必須の経営課題となります。

未来のテクノロジーは、こうしたサイバー空間での絶え間ない攻防を経て、より強靭なものへと進化していきます。この事件を単なる脅威として終わらせるのではなく、次世代のデジタルインフラを構築するための重要な教訓として捉えることこそ、私たちinnovaTopiaが読者の皆様と共有したい視点です。

【用語解説】

サプライチェーン攻撃
ターゲット企業を直接攻撃するのではなく、その企業が利用しているソフトウェアやサービスを提供する取引先（サプライチェーン）をまず攻略し、それを足がかりとして本命のターゲットに侵入するサイバー攻撃の手法である。

ソースコード
コンピュータプログラムの動作を人間の言葉（プログラミング言語）で記述したテキストファイルである。これが漏洩すると、システムの設計思想や脆弱性が第三者に分析され、攻撃につながるリスクが高まる。

脆弱性
コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因で発生する情報セキュリティ上の欠陥を指す。サイバー攻撃は、この脆弱性を悪用して行われることが多い。

2015年サイバーセキュリティ情報共有法（CISA 2015）
米国において、政府機関と民間企業との間でサイバー脅威に関する情報を共有することを促進するために制定された法律である。情報共有を行った企業に対し、法的責任を免除する保護条項などが盛り込まれている。

【参考リンク】

F5, Inc.（外部）
今回問題となったBIG-IPシリーズを開発・提供する、アプリケーションデリバリーおよびセキュリティソリューションのリーディング企業である。ｆｆ

Cybersecurity and Infrastructure Security Agency (CISA)（外部）
米国国土安全保障省に属する政府機関。国内の重要インフラをサイバー攻撃や物理的な脅威から保護することを任務としている。

【参考記事】

F5 releases BIG-IP patches for stolen security vulnerabilities（外部）
F5社が、国家支援のハッカーに盗まれた未公開の脆弱性情報を修正するパッチをリリースしたと報じている。

translate:CISA Orders Agencies to Patch F5 Devices, Software by Oct. 22（外部）
米CISAが、F5製品の脆弱性に対し連邦政府機関に10月22日までのパッチ適用を命じる緊急指令を出したことを伝えている。

translate:Nation-state hackers breached cybersecurity firm F5, stole secrets（外部）
国家背景のハッカーがF5社に侵入し秘密情報を盗んだと報道。Fortune 500企業などへの広範囲な影響が懸念される。

【編集部後記】

今回のニュースは、決して遠い国の話ではありません。皆さんが日常的に利用しているサービスや、お勤めの会社のシステムも、気づかぬうちにこうした脅威と隣り合わせにあるかもしれません。

ご自身の会社や組織が、どのようなソフトウェアやクラウドサービスに支えられているか、少しだけ想像してみていただけますか。その「縁の下の力持ち」がもし攻撃されたら…？今回の出来事をきっかけに、自社のデジタル環境を支える技術について、少しでも関心を持つきっかけになれば嬉しく思います。