混乱の設計図：F5 Networks社の侵害事象と脅威アクターUNC5221に関する詳細分析

こんにちは、情報システム部セキュリティ担当の城咲子です。CISSPとCCSP、登録セキスペの資格を持ち、日々、企業のセキュリティガバナンスと向き合っています。

さて、2025年10月、私たちの業界を震撼させる大きなインシデントが公表されました。ネットワーク機器大手のF5 Networks社が、国家支援型とみられる脅威アクター「UNC5221」による深刻なサイバー攻撃を受けたというものです。

多くのニュースが「F5が侵害された」「CISAが緊急指令を出した」と報じています。しかし、私はこのインシデントの本質を、単なる「情報漏洩」や「脆弱性」の問題として片付けてはならないと強い危機感を抱いています。

これは、従来のサプライチェーン攻撃とは一線を画す、「設計図の窃盗（Blueprint Theft）」と呼ぶべき戦略的な侵害です。今回は、このインシデントがなぜそれほど危険なのか、そして私たち防御側は何をすべきなのかを、専門家の視点から徹底的に解説します。

• なぜF5の侵害は「SolarWinds型」より恐ろしいのか
• 攻撃者の肖像：UNC5221とマルウェア「BRICKSTORM」
  • 狙われた「セキュリティの死角」
• 私たちが「今すぐ」取るべき対策
  • 1. 【最優先】管理インターフェースの隔離
  • 2. 緊急パッチの適用
  • 3. 資産の棚卸しと脅威ハンティング
• 結論：インフラセキュリティの「常識」を変えよ
  • 引用文献

---

なぜF5の侵害は「SolarWinds型」より恐ろしいのか

今回のインシデントを理解する上で、2020年に世界を震撼させたSolarWinds社の事例と比較するのが最も分かりやすいでしょう。

• SolarWinds型（サプライチェーン汚染）: 攻撃者はソフトウェアの「製造ライン（ビルドプロセス）」に侵入し、正規のアップデートファイルにマルウェアを混入させました。これは、「出荷される製品に毒を盛る」行為です。一度検知されれば、どの製品が汚染されているか特定が可能でした。

• 今回のF5型（設計図の窃盗）: 攻撃者はF5の「開発環境」に侵入し、製品の「設計図（ソースコード）」と「未公開の脆弱性リスト」そのものを盗み出しました。F5によれば、幸いにもビルドプロセス自体は侵害を免れたとされています。

一見、製品に直接手が加えられなかったF5の方がマシに見えるかもしれません。しかし、現実は逆です。

SolarWinds型は「どの製品に毒が入っているか」という問題でしたが、今回は「攻撃者が毒の製法と、建物のすべての合鍵の設計図を手に入れた」状態です。

彼らは今後、盗んだ設計図を徹底的に分析し、私たちがまだ知りもしない未知の脆弱性（ゼロデイ脆弱性）を好きなだけ発見し、開発できます。そして、最も価値のある標的（政府機関や大企業）に対し、防御側が認識すらしていない穴を突く、極めて検知困難な攻撃を仕掛けることが可能になったのです。

これは、一度きりの攻撃ではなく、今後数年間にわたって攻撃者に「非対称的な優位性」を与え続ける、長期的な脅威の始まりを意味します。

---

攻撃者の肖像：UNC5221とマルウェア「BRICKSTORM」

今回の攻撃を実行したとされる「UNC5221」は、中国との関連が指摘される高度なサイバー諜報グループです。彼らの手口は、極めて巧妙かつ忍耐強いものです。

狙われた「セキュリティの死角」

UNC5221がF5のネットワーク内に少なくとも1年間も潜伏していたという事実は、私たちインフラ担当者に重い課題を突きつけます。

なぜ彼らはそれほど長く検知されなかったのか？

答えは、彼らが意図的に「セキュリティの死角」を狙ったからです。

彼らの主要なマルウェア「BRICKSTORM」は、私たちが日常的に監視しているPCやサーバー（エンドポイント）ではなく、ネットワークアプライアンス（F5 BIG-IPなど）や仮想化基盤（VMware vCenterなど）といったインフラ機器上で動作するように特別に設計されていました。

情シス部門では、これらのインフラ機器を「買ってきて設定したら、あとは安定稼働するもの」として、一度設置したらあまり触らない「ブラックボックス」として扱ってしまいがちです。EDR（Endpoint Detection and Response）のような高度な監視エージェントも導入されていません。

攻撃者は、まさにこの「信頼の隙間」を突いたのです。インフラ機器そのものに潜伏することで、彼らは従来のセキュリティ監視網をすり抜け、長期間にわたる諜報活動を可能にしました。

---

私たちが「今すぐ」取るべき対策

この脅威は、もはや他人事ではありません。F5 BIG-IP製品は、Fortune Global 500企業の8割が利用し、世界中の重要インフラを支えています。あなたの会社も、直接的・間接的に利用している可能性は極めて高いです。

米国CISAが発令した緊急指令（ED 26-01）は、連邦政府機関向けのものですが、すべての企業が従うべき「最低限の行動指針」です。

1. 【最優先】管理インターフェースの隔離

今、この記事を読んでいるすべての方に確認してほしい、最も重要な対策です。

F5 BIG-IPの管理インターフェース（TMUIやSSH）が、インターネットに公開されていませんか？

もし公開されているなら、それは「玄関のドアを開けっ放しにして、合鍵の設計図を持った強盗を待っている」のと同じ状態です。直ちにネットワーク設定を見直し、VPNや踏み台サーバー経由でのみアクセスできるように隔離してください。これは、今回の攻撃に限らず、あらゆる脅威に対する基本的な防御策です。

2. 緊急パッチの適用

F5はインシデント公表と同時に、40件以上もの脆弱性を修正する大規模なセキュリティアップデートをリリースしました。

これは、盗まれた「未公開の脆弱性情報」を悪用される前に、先回りして穴を塞ごうとする防御側の必死の対抗策です。攻撃者との「時間の競争」が始まっています。可及的速やかに、最新のパッチを適用してください。

3. 資産の棚卸しと脅威ハンティング

• 「ウチにF5なんてあったっけ？」
• 「どのベンダーのSaaSがF5を使ってるんだ？」

自社が直接管理しているBIG-IPはもちろん、パートナー企業や利用しているクラウドサービスがF5に依存していないか、この機会にサプライチェーン全体を見直す必要があります。

さらに、パッチを当てるだけでは不十分です。すでに1年以上も潜伏が可能なのですから、「すでに侵入されているかもしれない」という前提（Assume Breach）に立ち、能動的に脅威の痕跡を探す「脅威ハンティング」が不可欠です。

具体的には、F5デバイスやvCenterのログをSIEM等で分析し、不審なログイン、設定変更、外部への通常とは異なる通信（BRICKSTORMの痕跡）がないかを徹底的に調査すべきです。

---

結論：インフラセキュリティの「常識」を変えよ

今回のF5の侵害事象は、私たちセキュリティ担当者に根本的なパラダイムシフトを迫るものです。

それは、「インフラ機器を"信頼されたブラックボックス"として扱う時代の終わり」です。

もはや、ネットワーク機器や仮想化基盤を「安全な内側」の存在として無条件に信頼することはできません。これからのインフラセキュリティは、ゼロトラストの原則に基づき、これらの機器自体をPCやサーバーと同じ「監視・管理対象のエンドポイント」として扱う必要があります。

私の信条は「自分が動くのではなくルールを変えて人と組織を動かす」です。今こそ、私たちは社内の「インフラ機器は一度設置したら触らない」という古い常識（ルール）を変え、継続的な監視、厳格なアクセス制御、そして積極的な脆弱性管理の対象に組み込むよう、組織全体を動かしていかなければなりません。

盗まれた「設計図」がもたらす脅威は、パッチを当てれば終わり、というものではありません。今後何年にもわたって、私たちはこの「潜在的な時限爆弾」と向き合い続けることになるのです。

---

引用文献

1. F5 Issues Statement on Compromise of Internal F5 Networks｜NHS England Digital
2. F5 Breach Exposes BIG-IP Source Code — Nation-State Hackers Behind Massive Intrusion｜The Hacker News
3. F5 data breach: "Nation-state attackers" stole BIG-IP source code, vulnerability info｜Help Net Security
4. Four actions to take following the recent F5 hack｜SC Media
5. Nation-state hackers breached sensitive F5 systems, stole customer data｜Cybersecurity Dive
6. Critical Intelligence Alert: Source Code Theft at Infrastructure F5｜BitSight Technologies
7. Beyond Endpoints: How BRICKSTORM Exposed Security Blind ...｜Vectra AI
8. Another BRICKSTORM: Stealthy Backdoor Enabling Espionage into ...｜Google Cloud
9. China accused of breaching US cybersecurity provider F5; embassy denies claim｜Financial Express
10. F5 systems data stolen in major nation-state cyberattack｜Silicon Republic
11. Inside the F5 Breach: When the Defenders Become the Attack Surface｜Enterprise Security Tech
12. Critical Vulnerability Exposure: Why the Stolen F5 Data Poses an ...｜Flashpoint
13. Cybersecurity order warns of "imminent risk" to federal agencies following possible breach｜CBS News
14. F5 discloses major security breach linked to nation-state hackers｜GeekWire
15. F5 Breach and Urgent BIG-IP Fixes: What You Need to Know｜SOCRadar
16. F5 BIG-IP Breach: Nation-State Hackers Expose Source Code and Undisclosed Flaws｜Hive Pro
17. 中国系ハッカーが古いF5 BIG-IPへマルウェアを仕込みデータ窃取｜合同会社ロケットボーイズ
18. Threat Brief: Nation-State Actor Steals F5 Source Code and ...｜Palo Alto Networks Unit 42
19. F5 BIG-IP Source Code and Vulnerabilities Breach｜FireCompass
20. F5 Security Incident｜MyF5 | Support
21. unit42.paloaltonetworks.com｜Palo Alto Networks Unit 42
22. 'Imminent Threat': Nation-State Hackers Hit Cybersecurity Provider F5｜PCMag
23. Inside the F5 Breach: What We Know and Recommended Actions｜Rapid7
24. 'Highly sophisticated' government goons hacked F5｜The Register
25. F5 says an APT stole source code, vulnerability reports｜Risky Biz News
26. China-linked hackers use 'BRICKSTORM' backdoor to steal IP｜The Record
27. BRICKSTORM Malware Campaign: What You Need To Know｜Lowenstein Sandler LLP
28. Brickstorm malware powering 'next-level' Chinese cyberespionage campaign｜CyberScoop
29. Inside the F5 BIG‑IP Source Code Leak: Risks, Impact, and Immediate Actions｜Parrot CTFs
30. CISA orders government to patch F5 products after 'nation-state' cyber intrusion｜Nextgov
31. CISA orders federal agencies to patch F5 BIG-IP devices by Oct. 22 after nation-state breach｜Industrial Cyber
32. BRICKSTORM Malware Detection: UNC5221 and Related China-Backed Actors Target U.S. Legal and Tech Sectors｜SOC Prime
33. A Strategic Response to the F5 BIG-IP Nation-State Breach｜Qualys Blog
34. F5 Breach: Nation-State Hackers Steal BIG-IP Source Code｜eSecurity Planet
35. Hackers stole source code, bug details in disastrous F5 security incident – here's everything we know and how to protect yourself｜ITPro
36. SolarStorm Supply Chain Attack Timeline｜Palo Alto Networks Unit 42
37. Software Supply Chain Attack Methods Behind Solarwinds, Kaseya ...｜Beyond Identity
38. Tactics, Techniques, and Procedures (TTPs) Used in the SolarWinds Breach｜Picus Security
39. BIG-IP の脆弱性 CVE-2020-5902 から保護する｜F5