F5 BIG-IP APMの重大な脆弱性（CVE-2025-53521）が攻撃に悪用中——今すぐパッチ適用を

F5 BIG-IP APMの重大脆弱性、攻撃が現実に——リモートコード実行が可能に

ネットワーク・セキュリティ大手のF5 Networksは、BIG-IP APM（Access Policy Manager）に存在する脆弱性 CVE-2025-53521 を、従来のサービス拒否（DoS）から**リモートコード実行（RCE）**へと再分類した。攻撃者がこの脆弱性を悪用してパッチ未適用のデバイスにWebシェルを設置していることが確認されており、早急なパッチ適用が求められている。

BIG-IP APMとは

BIG-IP APMは、企業ネットワーク・クラウド・アプリケーション・APIへのユーザーアクセスを一元管理するプロキシソリューションだ。Fortune 50企業のうち48社を含む世界2万3,000社以上が利用するF5のフラッグシップ製品であり、エンタープライズ環境における影響範囲は極めて広い。

脆弱性の詳細

CVE-2025-53521は、**認証なし（権限不要）**でRCEが可能な点が特に危険だ。仮想サーバーにアクセスポリシーが設定されたBIG-IP APMシステムが標的となる。F5は2026年3月のアドバイザリ更新で次のように警告している。

「本脆弱性はDoSとして分類・修正されていたが、2026年3月に得た新情報によりRCEへ再分類した。修正済みバージョンではRCEへの対処が確認されている。すでに脆弱なBIG-IPバージョンへの攻撃が確認されている。」 F5はIOC（侵害の痕跡）も公開しており、ディスク・ログ・ターミナル履歴を確認するよう管理者に強く求めている。

被害状況と対応状況

インターネット脅威監視団体のShadowserverによると、現在オンラインに公開されているBIG-IPインスタンスは24万台以上に上る。脆弱な構成のまま稼働している台数は不明だが、リスクは深刻だ。

米国のCISA（サイバーセキュリティ・インフラセキュリティ庁）も本脆弱性を「積極的に悪用されている欠陥」リストに追加し、連邦機関に対して2025年3月30日深夜までにBIG-IP APMシステムの保護を命じた。CISAは「この種の脆弱性は悪意ある攻撃者にとって頻繁な侵入経路であり、連邦政府全体に重大なリスクをもたらす」と強調している。

過去の悪用事例

BIG-IPの脆弱性は過去にも国家系・サイバー犯罪系の攻撃グループに悪用されており、企業ネットワークへの侵入・内部サーバーのマッピング・データ消去マルウェアの展開・機密文書の窃取といった被害が報告されている。

推奨される対応

• F5が提供するパッチを直ちに適用する
• BIG-IPシステムのディスク・ログ・ターミナル履歴でIOCを確認する
• 社内インシデント対応ポリシー（フォレンジック手順を含む）に従い、証拠保全を実施する
• パッチ適用が困難な場合は製品の使用中止も検討する

日本国内でもBIG-IP APMを導入している企業は多いため、担当者は公開されているIOCと照合しながら、早急にシステムの確認とパッチ適用を行うべきだ。

元記事: Hackers now exploit critical F5 BIG-IP flaw in attacks, patch now