「DoSだから少し待って」が命取りに
2025年10月に公開されたF5 BIG-IP APMの脆弱性(CVE-2025-53521)が、2026年3月に入り「リモートコード実行(RCE)が可能」と再分類された。当初はサービス拒否(DoS)扱いだったため、パッチ適用を後回しにした組織も少なくないだろう。しかし状況は一変している。認証なしのリモートコード実行——これはセキュリティ上の最高水準のリスクだ。
インターネット脅威監視団体のShadowserverによると、2026年4月時点でBIG-IP APMのフィンガープリントを持つIPが17,100件以上確認されており、そのうち1万4千台以上が依然としてCVE-2025-53521の攻撃にさらされた状態にある。米国土安全保障省のCISAが連邦機関に対し月曜日深夜までのパッチ適用を義務付けるほどの緊急事態にもかかわらず、だ。
BIG-IP APMとは何か、なぜ狙われるのか
F5 BIG-IP APM(Access Policy Manager)は、組織のネットワーク・クラウド・アプリケーション・APIへのアクセスを一元管理するプロキシ製品だ。Fortune 50企業の48社を含む世界2万3千社以上が採用する、エンタープライズセキュリティの要衝といえる。
この製品の性質上、BIG-IP APMが侵害されれば組織全体のアクセス制御が崩壊する。過去にも国家支援型のAPTグループやサイバー犯罪集団が、BIG-IPの脆弱性を悪用して企業ネットワーク侵入・データ窃取・マルウェア展開を行ってきた。今回のRCE再分類を受けF5は、侵害の証拠(IOC)を公開するとともに「感染が確認された場合はシステムを一から再構築することを強く推奨する」と明言している。
特に注意が必要なのは、UCS(ユーザー設定バックアップ)ファイルだ。F5は「侵害後に作成されたUCSファイルにはマルウェアが混入している可能性がある」と警告しており、信頼できるソースからの設定再構築を求めている。侵害タイミングが不明な場合、バックアップ自体が汚染されているリスクがある。
日本企業へのリスク
BIG-IP APMは日本の大手エンタープライズでも広く採用されている。金融・製造・通信など、アクセス管理基盤にF5製品を使っている組織は少なくない。今回の問題でとりわけ重要なのは以下3点だ。
1. 仮想サーバーにアクセスポリシーを設定しているか確認
今回の脆弱性は「仮想サーバーにアクセスポリシーが設定されている構成」で悪用可能とされる。自組織の構成がこれに該当するかを即座に確認すること。
2. ディスク・ログ・ターミナル履歴を精査
F5が公開したIOCを参照し、すでに侵害されていないかをチェックする。「今動いているから大丈夫」という判断は禁物だ。
3. パッチ未適用なら今すぐ適用
F5が修正済みバージョンを提供済み。オリジナルのCVEに対するパッチがRCEにも有効であることが確認されている。テスト後、速やかに適用する。
筆者の見解
セキュリティを生業にしているわけではないが、こうした「後になって深刻度が上がる脆弱性」の問題には構造的な課題を感じる。「DoSだからすぐには死なない」という心理は理解できる。しかし攻撃者はその猶予の間に足場を築く。今回のケースは、脆弱性の最初の開示情報だけで判断するリスクを端的に示している。
アクセス管理製品は「すべての扉の鍵束」を握っている。そこが侵害されれば、背後にある多層防御の多くが無意味になる。ゼロトラストアーキテクチャを整備していても、その認証・認可の入り口自体が突破されれば設計思想ごと崩れる。
日本の大エンタープライズでは、「ベンダーのサポート範囲外の古いバージョンが生き続けている」「本番への変更は四半期に一度の変更管理」という現場も珍しくない。残念ながらこの種のケースで「間に合わなかった」という話が後から出てくることは珍しくない。攻撃者はそのペースに合わせてくれない。
対応は複雑ではない。パッチを当て、IOCを確認し、疑わしければ再構築する。それだけだ。「今週末に」「来月の変更管理で」という判断が、どれだけのリスクを生んでいるかを、今一度チームで確認してほしい。
出典: この記事は Over 14,000 F5 BIG-IP APM instances still exposed to RCE attacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。