セキュリティに関して課題がありますか?
|
サポート
|
お問い合わせ
|
03-4595-0120
ブログ
/
サイバーレジリエンス
クリス・クラークソン
グローバルパートナーエンジニアリングディレクター
Illumio Editorial
2025年11月4日
23分読む

F5の侵害の内幕:国家主導のサイバー攻撃について学ぶこと

国家が支援するサイバー攻撃は政府の標的をはるかに超えて拡大し、経済のあらゆる分野に及んでいる。  

かつてはサイバースパイ活動が主な任務でしたが、現在では重要なインフラに対する破壊的な攻撃もこれらの作戦に含まれるようになりました。彼らはサイバー犯罪グループと協力して行動することが多い。

これらの攻撃者は忍耐強く、隠密性が高く、十分な資金を持っています。ゼロデイ脆弱性を悪用します。彼らはネットワークを通じて横方向に移動します。そして最悪なのは、何ヶ月も検出されないままになる可能性があることです。  

サイバーセキュリティ業界は、セキュリティチームがこれらの高度な攻撃から防御できるよう支援する上で大きな進歩を遂げてきました。しかし、現在自分の財産で誰が活動しているかを本当に知っている擁護者は何人いるでしょうか?そして、どの危険な組み合わせがすでに悪用され、まだ生きているのか見抜ける人はどれくらいいるでしょうか?  

攻撃者がアクセスすると、急速に拡散する可能性があります。そして、境界防御ではそれらすべてを止めることはできません。  

セキュリティベンダーF5で最近起きた注目を集めた侵害事件がその好例です。これは、成熟した資金豊富なセキュリティ プログラム内であっても、単一の足場によって攻撃者が高価値資産にアクセスできるようになる可能性があることを示すケース スタディです。  

この違反がなぜそれほど教訓的なのか、そしてそれが今日の国家が支援する選挙運動について何を明らかにするのかを理解するために、詳しく見てみましょう。以下について探っていきます:  

  • どのように展開したか  
  • 現代の国家による攻撃について明らかにするもの  
  • Illumio Insightsがどのように検出、封じ込め、阻止を迅速に行うのか  

F5の侵害についてわかっていること

2025年8月に発見されたこの侵害は、脅威アクターUNC5221によって実行されました。このグループは中国とのつながりが疑われており、高度な戦術を使うことで知られている。  

UNC5221 は、F5 の BIG-IP 製品開発およびエンジニアリング ナレッジ環境に入りました。攻撃者は、BIG-IP のソース コード、未公開の脆弱性の詳細 (重大ではない、またはリモートで悪用できないもの)、および顧客構成データの一部分などを盗みました。  

There’s no evidence that the attackers tampered with code. But the stolen vulnerability data could enable future zero-day exploits.  

After the breach, F5 launched a response plan. Affected BIG-IP customers got a one-year offer of CrowdStrike Falcon endpoint detection and response (EDR) protection.  

Illumio Insightsがどのように役立つか

Monitoring your F5 estate with CrowdStrike is a strong first step. But it won’t show how east–west traffic behaves, reveal risky services across subnets, virtual private clouds (VPCs), and virtual networks (VNets). And it won’t help contain attackers as they move laterally across your network.  

攻撃者はアクセスを獲得すると、ワークロード、サブネット、仮想ネットワーク間を移動します。最大のリスクは東西交通にあります。これは、ほとんどの防御側が見落としているシステム間の内部通信です。  

Here’s why it matters: if you can’t see east-west traffic or understand its context, you can’t control it. And without deep observability and context, attackers can move freely across your environment.  

But security graph-driven insights can visualize your entire estate, uncover hidden risks before they’re exploited, and quickly detect malicious behavior to minimize its impact.  

Here’s how you can use Illumio Insights to prevent and contain attacks like the F5 breach.  

ステップ1: Insightsハブで悪意のあるIP接続を確認する

悪意のある IP アドレスは、多くの場合、侵害の最初の兆候となります。Insights は脅威インテリジェンスを使用して、既知の悪意のある行為者や疑わしい外部接続にフラグを立てます。  

これらを確認すると、次のことが可能になります。

  • 早期の偵察やコマンドアンドコントロール(C2)活動を検出する  
  • 脅威の重大度に応じて調査を優先順位付けする  
  • 危険な宛先と通信するワークロードを特定する  

これらの洞察を組み合わせることで、早期警告システムが実現します。潜在的な侵害が拡大する前にそれを発見するのに役立ちます。  

悪意のあるIP脅威

ステップ2: 使用中のすべてのリスクのあるサービスを評価する

攻撃者は、横方向の移動やより高い権限の取得を目的として、リモート アクセス ツールを標的にすることがよくあります。定期的にこれらのサービスの使用方法を確認して、次のことを行います。  

  • 不正なアクセス試行や異常なログイン方法を検出します。  
  • 環境に属していないシャドー IT や安全でないリモート アクセス ツールを発見します。  
  • 時間の経過に伴う使用状況の変化を追跡します。  

時間の経過に伴うアクティビティを比較すると、ネットワークの通常のベースラインを理解し、侵害を示す可能性のある異常を迅速に見つけることができます。

たとえば、Secure Shell プロトコル (SSH) 接続の急増は、問題を示している可能性があります。また、この比較により、疑わしいアクティビティが既知のインシデントやアラートと関連付けられ、調査に貴重なコンテキストが追加されます。  

以下の例では、過去 24 時間で Rustdesk の接続性が急増しています。これは明らかに調査する価値のある異常です。  

AI セキュリティ グラフは、トラフィックとその関係の両方を表示することで重要なコンテキストを追加します。そこから重要な疑問が浮かび上がります。Rustdesk がユーザー エステートに接続するのはなぜですか?そして、その行為は正当なものでしょうか、それとも妥協の兆候なのでしょうか?  

危険な交通

次に、ここで問題となるワークロードを仮想デスクトップ インフラストラクチャ (VDI) 資産である VDI-Illumio-001 に絞り込むことができます。

トラフィッククエリ結果 RustDesk

また、トラフィックがセキュリティ制御を回避したかどうかも確認できます。

トラフィッククエリ結果 Azure

ステップ3: ワークロードデータ転送を評価する

Comparing data transfer volumes across different timeframes — such as the last 24 hours compared to the previous 24 — helps spot unusual spikes or patterns. These may indicate data theft or staging for ransomware.  

このステップは、主に 3 つの点で役立ちます。まず、データ フローの通常の量と方向を決定してベースラインを作成します。また、外部または信頼できない宛先への転送のコンテキストも提供します。最後に、境界制御をバイパスする可能性のあるピアツーピア トラフィックを明らかにします。

By lining up this data with known attack timelines — such as the F5 breach — you can see how the activity unfolded, retrace attacker steps, and quickly focus your investigation. You can track when transfers began and whether they match suspicious logins or risky activity like remote desktop protocol (RDP) or Rustdesk use.  

ステップ4: リソースグラフを使用して疑わしいトラフィックを特定する

東西の交通は見落とされやすいです。しかし、横方向の動きを検出するには重要です。

Insights リソース グラフは次のことに役立ちます。

  • ワークロード、VPC、VNet、サービスがどのように接続されるかを視覚化します。
  • 開発環境から本番環境など、環境間の予期しない接続を見つけます。  
  • セグメンテーション ポリシーをバイパスするワークロードを識別します。

Insights では、Rustdesk の着信トラフィックがあった VDI ワークロードをさらに調査できます。スクリーンショットの右上にある [隔離] ボタンに注目してください。次の手順でこのボタンを使用します。  

VDI-Illumio-001

Insights は、潜在的な影響を評価するために必要なコンテキストを提供します。自問自答してください: 顧客関係管理 (CRM) システムまたは顧客記録への不正アクセスはありませんか?

crm-web01-prod

ステップ6: ワンクリック封じ込めを使用して攻撃の拡散を制限し、フォレンジック分析をサポートする

Rustdesk の接続性の急増や異常な東西トラフィックなどの疑わしいアクティビティを検出した場合、時間は非常に重要です。  

従来の封じ込めでは、多くの場合、ファイアウォールの手動変更や複雑なオーケストレーションが必要となり、数時間から数日かかることもあります。  

ワンクリック封じ込め(隔離ボタンからアクセス可能)により、状況は変わります。これにより、セキュリティ チームは、より広範な環境を混乱させることなく、侵害されたワークロードを即座に分離できます。  

ワンクリック封じ込めにより、次のことが可能になります。

  • 横方向の動きを即座に停止します。攻撃者が環境の奥深くまで侵入したり、機密性の高いワークロードにアクセスしたりするのを防ぎます‍ ‍
  • 法医学的証拠を保存します。分離により、アクティブな脅威を遮断しながら、侵害されたシステムを調査のためにそのまま維持します。‍ ‍ ‍
  • 爆発半径を縮小します。セグメント全体またはアプリケーション全体ではなく、単一のワークロードへの影響を制限します。‍ ‍ ‍
  • 対応を加速します。複数のステップから成る手動プロセスを、単一の決定的なアクションに変換します。  
検疫を確認する

ステップ7: Insights Agentを使用して調査レポートを確認し、生成する

Imagine a digital assistant that speeds up your entire investigation process. The Insights Agent is your fastest path to clarity and breach containment.  

これが非常に強力な理由です:

  • 自動調査。エージェントは、クラウド規模のネットワーク データとワークロードの通信を継続的に監視します。AI セキュリティ グラフを適用することで、インフラストラクチャ全体の操作を即座に相関させ、脅威を発見します。‍ ‍ ‍
  • コンテキスト豊富なレポート。各役割に合わせて重大度ランク付けされた分析を生成します。たとえば、脅威ハンター、対応者、コンプライアンスアナリストはそれぞれ、自分の仕事に関連する洞察を得ることができます。すべての検出結果は、コンテキストを追加するために MITRE ATT&CK フレームワークにマッピングされます。‍ ‍
  • 積極的な推奨。検出だけでなく、リスクを軽減するための優先順位付けされた封じ込めアクションとセグメンテーション ポリシーを提案し、洞察から実行までをガイドします。‍ ‍ ‍
  • 統合されたワンクリック封じ込め。検出はシームレスに修復へと流れます。侵害されたワークロードを即座に分離できます。Illumio Segmentation とネイティブに統合されるため、封じ込めはホスト エージェントに依存しません。  

Insights Agent を使用することで、チームは事後対応型のトリアージから事前対応型の解決へと移行します。これにより、アラートのノイズをカットし、実用的な明確さを獲得し、脅威が拡大する前に封じ込めることができます。  

Insights Hubの脅威ハンティング

時間は刻々と過ぎている

The F5 breach shows that anyone can be surprised by stealthy, persistent state-sponsored attackers.    

侵害が発見される頃には、攻撃者はすでに機密データを盗み出し、環境をマッピングし、次の行動の準備を整えている可能性があります。

従来の防御はこの種の敵に対抗するために構築されたものではありません。ファイアウォール、エンドポイント ツール、境界ベースの監視では、国家が支援する攻撃のスピードと巧妙さに対応できません。  

防御側が今必要としているのは、深く継続的な可視性です。ネットワークに出入りするものだけでなく、ネットワーク内で何が移動しているかも把握する必要があります。

それが Insights と新しい AI 駆動型 Insights Agent の力です。これらを組み合わせることで、セキュリティ チームにコンテキスト、スピード、精度が提供され、横方向の移動を早期に検出し、脅威を迅速に封じ込めることができます。

国家が支援する攻撃は衰えを知らない。しかし、対応はより速く、よりスマートに、より制御されたものになります。誰もが、自社のネットワークで次の F5 スタイルの侵害がすでに発生しているかのように準備しておく必要があります。実際にそうなる可能性があるからです。  

次回の侵害で盲点が明らかになるまで待たないでください。経験 Illumio Insights 今日は無料です。

関連トピック

インシデント対応

関連記事

可視性を超えて:イルミオの洞察が重要なセキュリティの点と点をつなぐ方法
サイバーレジリエンス

可視性を超えて:イルミオの洞察が重要なセキュリティの点と点をつなぐ方法

サイバーリスクの理解と軽減にオブザーバビリティが重要である理由をご覧ください。

詳細はこちら
ゼロトラストアーキテクチャとは?完全ガイド
サイバーレジリエンス

ゼロトラストアーキテクチャとは?完全ガイド

ゼロトラストアーキテクチャを構築することの意味、そのコアコンセプト、ネットワーク設計の原則、サイバーセキュリティにおける役割などを学びます。

詳細はこちら
AI は信頼すべきではない: それを理解することが変革をもたらす理由
サイバーレジリエンス

AI は信頼すべきではない: それを理解することが変革をもたらす理由

イルミオのCTO兼共同創設者が、AIの「技術境界」が見た目よりも小さいと考えている理由と、それがAIの使用方法にどのように影響しているかをご覧ください。

詳細はこちら
2つの侵害、1つの銀行:ICBCサイバー危機からの教訓
サイバーレジリエンス

2つの侵害、1つの銀行:ICBCサイバー危機からの教訓

米国でのランサムウェアとロンドンでのデータ盗難という2つの大規模な侵害により、世界の銀行業務における体系的な脆弱性が明らかになったICBCサイバー危機から得られる重要な教訓をご覧ください。

詳細はこちら
マスターキー問題:Salesloftの侵害と継続的な脅威の内幕
ランサムウェアの拡散阻止

マスターキー問題:Salesloftの侵害と継続的な脅威の内幕

Salesloft の情報漏洩によって明らかになった OAuth トークンの不正使用、隠れた信頼リスク、そして脅威が広がる前に封じ込める方法をご覧ください。

詳細はこちら
Illumio Insightsでクラウド内の横方向の移動を検知・抑制
IL L U M IO P R O D U C T S

Illumio Insightsでクラウド内の横方向の移動を検知・抑制

Illumio Insights がクラウド内の横方向の移動を検出して阻止し、攻撃者をリアルタイムで阻止し、セキュリティ体制を強化する方法について説明します。

詳細はこちら

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

詳しく見る