F5 BIG-IP APMの脆弱性CVE-2025-53521から学ぶ脆弱性管理の重要性

2026年3月31日

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。

「BIG-IPを使っているけど、DoSならパッチは後回しにしても大丈夫かな？」
「脆弱性の深刻度が後から変わるなんて、どう対処すればいいの？」

チップス

ボス！F5 BIG-IPのCVE-2025-53521って、最初はDoSだったのにRCEに変わったって聞いたでしゅ。これってどういうことでしゅか？

ボス

いい着眼点だな。脆弱性の分類は調査が進むにつれて変わることがある。今回の件は、後回しにした組織が実攻撃にさらされた典型例だ。

セキュリティ担当者の中には、DoSと判断された脆弱性の優先度を下げてしまうケースがあります。
しかし、今回のF5 BIG-IP APMの脆弱性CVE-2025-53521は、公開から約5か月後にリモートコード実行（RCE）へ再分類され、JPCERT/CCが2026年3月30日に注意喚起を発行しました。
この記事では、事件の経緯と攻撃の仕組み、今すぐ確認すべき対処方法を解説します。

CVE-2025-53521はDoSからRCE（CVSS 9.8）へ再分類され、認証なしで攻撃が成立する
国家レベルの脅威アクターによる実攻撃が確認され、CISAとJPCERT/CCが同時に警告
影響バージョンすべてに修正版が提供済み。パッチ適用と侵害調査の同時実施を推奨

パッチ適用の判断が遅れるほど、組織の被害リスクは高まります。
以下で詳しく解説します。

F5 BIG-IP APMを標的にしたCVE-2025-53521の概要

この脆弱性は2025年10月のF5社内情報漏洩事件に端を発しています。

DoSとして公開された後、RCEへ再分類された経緯

CVE-2025-53521は2025年10月15日、F5が最初のアドバイザリを公開した時点では「サービス拒否（DoS）」として分類されていました。
しかし2026年3月、F5はこの脆弱性を「認証なしでリモートコード実行が可能になる」脆弱性として再分類しました。
APMアクセスポリシーが設定された仮想サーバーへ特定の悪意あるトラフィックを送ることで攻撃が成立し、CVSSスコアはv3.1で9.8、v4.0で9.3となっています。
再分類の背景には、同年10月に発生したF5社内への不正アクセスがあります。
中国との関連が指摘される国家的脅威アクターがF5のネットワークに最低12か月間潜伏し、ソースコードと未公開脆弱性情報を窃取していたことが後の調査で明らかになりました。

チップス

え、F5の社内に1年も潜んでいたでしゅか？脆弱性情報を最初から知った上で攻撃してるってことでしゅよね！？

ボス

そうだ。ソースコードを持つ者は「どこを狙えば効果的か」を正確に把握できる。だから今回の攻撃はスピードが速く、被害が広範囲に及んだんだ。

影響を受けるバージョンと修正版の確認

今回の脆弱性が影響するバージョンと修正版の対応は以下の通りです。

影響バージョン系列	影響バージョン範囲	修正版
17.5系	17.5.0〜17.5.1	17.5.1.3
17.1系	17.1.0〜17.1.2	17.1.3
16.1系	16.1.0〜16.1.6	16.1.6.1
15.1系	15.1.0〜15.1.10	15.1.10.8

JPCERT/CCの注意喚起（at260007）では、パッチ適用とともに侵害の有無調査も推奨しています。
単純な更新にとどまらず、既にシステムが侵害されていないかの確認が重要です。

攻撃者が悪用する仕組みと侵害の確認方法

この脆弱性は、APMアクセスポリシーを構成した環境が対象となります。

認証なしRCEが成立する攻撃の仕組み

BIG-IP APMはアクセス制御のゲートウェイとして機能するため、多くの企業でインターネットに面した位置に配置されます。
CVE-2025-53521では、APMアクセスポリシーが設定された仮想サーバーへ特定の悪意あるリクエストを送ることで、認証なしでOSレベルのコードが実行できます。
攻撃成功後は管理者権限での操作が可能になり、Brickstormと呼ばれるバックドアがシステムに設置された事例が複数確認されています。

チップス

バックドアを仕掛けられたら、パッチを当てても意味がないってことでしゅよね……？

ボス

その通りだ。パッチは「これ以上の侵入」を防ぐが、既に入り込まれていれば別の話だ。だからこそ「侵害調査と同時実施」が重要なんだ。

侵害を示す3つの痕跡と確認手順

F5が公開した侵害インジケーター（K000156741）をもとに、以下の3点を確認することを推奨します。

ディスク上の不審なWebシェルの存在
SELinuxセキュリティモジュールが無効化されたログの記録
整合性チェックツール（sys-eicheck）への改ざんの有無

CISAは米国の連邦機関に対し2026年3月30日までのパッチ適用を義務付け、Help Net Securityの報告でも実際の攻撃痕跡が詳しく分析されています。
国内においてもJPCERT/CCが製品の利用を確認しており、早急な対応が求められます。

まとめ：脆弱性の深刻度は「公開時」だけで判断しない

チップス

この記事を読んで、DoSだからって後回しにしちゃダメだってよく分かったでしゅ！うちのBIG-IPもすぐ確認するでしゅ。

ボス

そうだな。今回のポイントは「脆弱性情報は更新される」という事実だ。公開時の評価を鵜呑みにせず、定期的なウォッチが組織を守る第一歩になる。

CVE-2025-53521は、DoSとして発表された後にRCEへ再分類され、背景に国家的脅威アクターによるソースコード窃取があったという異例の事例です。
対象のBIG-IP APMをお使いの場合は、修正版へのアップデートと侵害調査を同時に実施してください。
また、セキュリティ情報を定期的にウォッチし、深刻度が変更された脆弱性を見逃さない体制の構築が重要です。
セキュリティ専門家と連携した継続的な脆弱性管理が、組織を守る基盤となります。

セキュリティフリーランス案件を見る

よかったらシェアしてね！