主なポイント

✓ F5 BIG-IP APMにおいて、CVE-2025-53521という脆弱性が発見され、悪用の報告がされています。
✓ NCSCは、影響を受ける組織に対して、迅速な対応を求めています。

社会的影響

! この脆弱性は、特に大規模な企業において、情報漏洩やシステムの不正利用を引き起こす可能性があります。
! 組織が迅速に対応しない場合、顧客や取引先に対する信頼が損なわれる恐れがあります。

編集長の意見

F5 BIG-IP APMに関するCVE-2025-53521の脆弱性は、特に企業ネットワークにおいて深刻な影響を及ぼす可能性があります。この脆弱性は、悪意のあるトラフィックによってリモートコード実行が可能になるため、攻撃者がシステムに不正アクセスし、データを盗むことができるリスクがあります。NCSCが警告しているように、既に悪用が確認されているため、影響を受ける組織は直ちに対策を講じる必要があります。具体的には、F5が提供するセキュリティアドバイザリーを確認し、侵害の指標をもとにシステムの調査を行うことが重要です。また、影響を受けるシステムを隔離し、必要に応じて新しいシステムに置き換えることも推奨されます。さらに、組織はサイバーインシデントレスポンスプロバイダーと連携し、万が一の侵害に備えることが求められます。今後、企業はこのような脆弱性に対する意識を高め、定期的なセキュリティチェックや脆弱性管理を行うことが重要です。特に、リモートワークの普及に伴い、ネットワークのセキュリティがますます重要になっています。したがって、組織はセキュリティ対策を強化し、従業員に対する教育も行う必要があります。

解説

F5 BIG-IP APMに認証不要RCE（CVE-2025-53521）—境界の“IDハブ”が最短経路で突かれています

今日の深掘りポイント

認証不要のRCEが、VPN/SSOの入り口であるBIG-IP APMを直撃しています。すでに悪用事例があると報告されており、事案の性質は「境界侵入」ではなく「認証基盤の乗っ取り」に直結しやすいです。
本件は“パッチ適用だけでは終わらない”類のインシデントです。トークン窃取、セッション乗っ取り、認証連携の改ざんといった静かな被害が残りやすく、事後の資格情報・証明書・ポリシーの再発行までが対応範囲になります。
緊急度と行動可能性の高さが際立つ一方、新規性は中程度です。つまり攻撃者は既存のTTPで素早く収益化・作戦化しやすく、初動の72時間が勝負になります。
技術的には、初期侵入後の「静的Webシェル設置」「APMポリシーの改変」「SSOフローへのフック」「内向きプロキシ化」が想定されます。検知はHTTP 500/異常なPOST分布、未知の管理アカウント、APM関連ログの異常相関が鍵です。
まず「露出の可視化」と「境界の一時的な厳格化（IP制限等）」で被弾面を縮めつつ、インシデント前提で検証（IoCサーチ、ログ相関、設定差分）を走らせるのがいちばん現実的です。

はじめに

F5 BIG-IP Access Policy Manager（APM）に、認証されていないリモートコード実行（RCE）脆弱性 CVE-2025-53521 が公表され、実際の悪用が確認されています。英国NCSCは、影響を受ける全組織に対して直ちに対策を講じるよう呼びかけています。BIG-IP APMはVPN/ポータル/SSOの“関所”であり、ここでのRCEは単なるサーバ侵害ではなく、認証・認可の中枢を経由した横展開と長期潜伏の足がかりになり得ます。

本稿では、公開情報に基づく事実を整理しつつ、読者の環境に引き寄せた現実的な脅威シナリオと、72時間・2週間・30日に分けた優先アクションを示します。緊急性と実装可能性が高い事案であり、境界装置の“運用の癖”を突く攻撃へ目配りすることが差になります。

参考情報:

NCSC「Vulnerability affecting F5 BIG-IP APM」（悪用確認・即時対策の勧告）: https://www.ncsc.gov.uk/news/vulnerability-affecting-f5-big-ip-apm

深掘り詳細

事実整理（いま分かっていること）

CVE-2025-53521はBIG-IP APMにおける認証不要のRCEで、細工されたトラフィックによってリモートでコード実行が可能とされています。すでに悪用が確認されています。
英NCSCは、影響対象の組織に対して「直ちに」対処を求め、該当製品向けのベンダ情報（セキュリティアドバイザリやIoC）に基づく対応を促しています。
APMはリモートアクセスやSSOの制御点であり、多くの組織でインターネット露出が前提のため、攻撃面が広く、可用性・認証・横展開の3点で同時に大きな影響が出やすいです。

出典: NCSCの公表情報を参照しています（上記リンク）。

編集部のインサイト（なぜ“IDの中枢”案件なのか）

侵害の質が“資格情報の時間軸”に波及します。APMが中継するのはID/セッション/トークン/クッキー/デバイス posture といった「認証の現在地そのもの」です。RCEは単なるサーバ支配に留まらず、SSOフローへフックしてセッションやトークンを狩る設計が可能になります。これは、パッチ適用後も有効な“盗まれた認証素材”を残すという意味で被害が長期化します。
過去の境界機器インシデントが示す通り、攻撃者は「静かで、回収効率のよい」TTPを選びます。Webシェル常駐、プロキシ化、ログ改ざん、小さな設定変更（例えば認証前後のフローに薄いフック）といった低ノイズの持続化が典型です。これらはEDRの死角になりやすく、ネットワーク・認証ログの整合チェックが物を言います。
新規性が中程度という評価は、“ゼロデイの奇抜さ”より“使い回しやすい運用ミス×境界露出”に重心があることを示唆します。行動可能性の高さが際立つ分、初動のスピードと現場実装力（IP制限、早期切替、ログ集中確認）が勝敗を分けます。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った仮説シナリオです。実案件ではログと構成差分の事実確認が前提になります。

シナリオA：スプリント侵入からの横展開（仮説）
- 初期侵入: Exploit Public-Facing Application（ATT&CK: T1190）
- 実行・持続化: Command and Scripting Interpreter（T1059）、Webシェルの設置（T1505.003相当）
- ツール搬入: Ingress Tool Transfer（T1105）
- 内部探索: Network Service Discovery/Scanning（T1046）
- 横展開: Remote Services（T1021）、Valid Accounts（T1078）
- 影響: 内部サーバへのピボット、認証ストアやファイルサーバへのアクセス増加
- リスク: 速攻での機密データ流出とバックドア残置
シナリオB：認証基盤の静かな乗っ取り（仮説）
- 初期侵入: T1190
- 認証素材の窃取: Use Alternate Authentication Material（Web Session Cookieやアプリトークン, T1550系）、Forge Web Credentials（SAML/OIDCトークン, ATT&CK: T1606系）
- 認証フロー改変: Modify Authentication Process（T1556）
- C2・回収: Exfiltration Over Web Services（T1567）、Web Protocols（T1071.001）
- 影響: 多要素認証を迂回したセッション乗っ取り、特権昇格の糸口獲得、信頼ドメインの汚染
- リスク: パッチ後も有効なセッション/トークンが存続する“長尾の被害”
シナリオC：境界の可用性・隠蔽戦術（仮説）
- 初期侵入: T1190
- 防御回避: Impair Defenses（ログ改ざん/ローテーション操作, T1562）
- 可用性影響: サービス中断を人質にした恐喝、APMのプロキシ化
- 影響: VPN/ポータル停止による事業継続リスク、対応窓口の飽和、混乱下でのさらなる侵入

被害の質は「境界デバイスのOS支配」だけでなく「ID・セッションの体系的な汚染」に波及します。結果として、資格情報・証明書・ポリシーの再発行や、認証連携の安全確認（SAML/ODIC設定、リライングパーティの検証）までが不可避になります。

セキュリティ担当者のアクション

初動は“露出と痕跡”の二正面作戦でいくのが実務的です。以下は緊急度順の実装ガイドです。

0〜24時間（即応）
- ベンダのセキュリティアドバイザリと侵害の指標（IoC）を確認し、該当条件を満たす機器をリスト化します。NCSCの勧告に従い、該当機器は最優先で対応します。
- インターネット露出の可視化を行い、APMの外部公開面を棚卸しします。まずは管理プレーンとユーザプレーン双方に対して、IP制限や一時的な地理的フィルタを適用して被弾面を縮小します。
- ログの一次スイープを開始します（例：/var/log/apm、/var/log/ltm、/var/log/audit、/var/log/secure、HTTPアクセスログ）。短時間に集中する異常なPOST、認証前リクエストでの500増加、未知の管理系URIへのアクセス偏在、深夜帯の設定変更イベントなどを優先確認します。
- 影響が疑われる機器はセグメント隔離を検討し、ビジネス継続上クリティカルならばフェイルオーバー/代替経路を準備します。
24〜72時間（準緊急）
- パッチ/緩和策の適用と設定差分監査を並走します。適用直前・直後に設定のスナップショットを採り、APMポリシー、iRules、仮想サーバ設定、スクリプト類の改変有無を比較します。
- 資格情報/トークンのリスク低減策を順次実施します。APM経由の特権アカウントから優先してパスワード/鍵をローテーションし、SSO関連のシークレット/証明書（SAML/OIDC）も段階的更新計画を立てます。
- SIEMに一時的な高感度ルールを投入します。APM関連のエラーレート急増、同一クライアントからの認証前後リクエストの異常連鎖、外向き通信の新規ドメイン/ASN、管理系ログインの地理的異常などを監視します。
1〜2週間（是正）
- 侵害の有無にかかわらず、APMを経由した重要システムの認証連携（Relying Party Trust）を検証します。SAMLアサーションの監査、OIDCのリダイレクト/コールバック整合性、クレームルールの差分を点検します。
- デバイス内の持続化痕跡を探索します。未知のcron、起動スクリプトの挿入、不可解なバイナリ/スクリプト（/var/tmp, /shared などの一時ディレクトリ含む）、新規ローカルユーザ、iptables変更痕を確認します。
- 監視の常設化を進めます。APM特有のログとIdP/AD/EDR/プロキシの横断相関（認証イベントとネットワークのカップリング）をダッシュボード化します。
30日以内（再発防止）
- 境界装置の更新・運用基準を改定します。公開面の最小化（管理面の閉域化/ジャンプホスト化）、緊急フィルタ適用手順の標準化、設定差分の継続監査、暗号鍵・証明書の定期ローテーションをルール化します。
- 例外なく脆弱性管理にCI/CD的プロセスを適用します。影響調査→露出確認→テスト→段階適用→事後検証→鍵/資格情報の段階更新という“定型フロー”をテンプレート化します。
- レッドチーム/ピンクチームでAPM周りの想定攻撃（セッションハイジャック/トークン窃取/プロキシ化）の卓上演習を実施し、運用手順と検知ロジックに磨きをかけます。

最後に強調したいのは、本件を「境界装置の一不具合」と捉えないことです。APMは組織の“信頼の関所”であり、ここでのRCEはIDの川上を汚染します。だからこそ、パッチ適用と同列で、セッション・トークン・鍵・証明書・ポリシーの再発行と連携点検までをワンセットで設計することが、被害の長尾を刈り取る最短の道筋になります。NCSCの緊急勧告を合図に、72時間の勝負どころを逃さない運用に振り切っていきたいです。