1. 概要

 2026年3月29日(現地時間)、F5 Networks社はBIG-IP Access Policy Managerの脆弱性(CVE-2025-53521)に関するアドバイザリを更新しました。本脆弱性は当初、サービス運用妨害(DoS)の脆弱性として公表されていましたが、アドバイザリ更新により、認証を必要としないリモートコードの実行につながる脆弱性(RCE)に変更されています。また、同脆弱性を悪用する攻撃はすでに確認されており、CISAのKnown Exploited Vulnerabilities(KEV)カタログにも登録されています。
 本脆弱性(CVE-2025-53521)のCVSSスコア9.8(CVSS v3.1)および9.3(CVSS v4.0)と極めて高く、脆弱性対象の製品を使用している場合は、F5 Networks社が提供する情報を参照し、早急に修正済みバージョンへのアップデートなどの対策を実施することが推奨されています。

 

2. 脆弱性情報詳細(CVE-2025-53521)

(1)脆弱性の概要
 F5 Networks社のBIG-IP Access Policy Manager(APM)には、特定の条件下において認証を必要とせずリモートコード実行(RCE)が発生する可能性があります。
 ※BIG-IP Access Policy Manager(APM)は、F5 Networks社が提供している、リモートアクセスや認証・アクセス制御を統合的に管理する製品です。
 
(2)攻撃の概要
 攻撃者はCVE-2025-53521を悪用し、対象となるBIG-IP Access Policy Manager(APM)のアクセスポリシーが設定された仮想サーバーに対して特定の悪意あるトラフィックを送信することで、認証を得ずに任意のコードを実行できます。この脆弱性を悪用することで、機器の侵害や情報窃取などの攻撃を実行することが可能となります。

2026_3_secnews2

【図1】 攻撃のイメージ

(3)影響を受けるシステムおよびバージョン
 BIG-IP APM(Access Policy Manager)
 - 17.5.0から17.5.1、17.1.0から17.1.2までの17系のバージョン
 - 16.1.0から16.1.6までの16系のバージョン
 - 15.1.0から15.1.10までの15系のバージョン<
 
(4)インシデント対策
 本脆弱性はすでに悪用が確認されており、CISAのKnown Exploited Vulnerabilities(KEV)にも追加されています。CVSS v3.1スコアは9.8(Critical)と非常に高く、F5 Networks社も実際の攻撃を確認しています。同社が公表している脆弱なバージョンのBIG-IP Access Policy Manager(APM)を使用している場合は、早急に同社が提供する修正済みバージョンへのアップデートを推奨いたします。

 

3. まとめ

 本記事では、F5 Networks社が提供するBIG-IP Access Policy Manager(APM)に存在する脆弱性(CVE-2025-53521)について、その詳細と対策を紹介しました。すでに当該脆弱性を悪用する攻撃が確認されているため、当該製品をご利用の場合は、F5 Networks社が提供する情報を参照し、早急に修正済みバージョンへのアップデートなどの対策を実施することが推奨されます。

 

4. 参考情報

・F5 Networks社 2026年3月30日閲覧
https://my.f5.com/manage/s/article/K000156741

・CVE 2026年3月30日閲覧
https://www.cve.org/CVERecord?id=CVE-2025-53521

・Known Exploited Vulnerabilities Catalog 2026年3月30日閲覧
https://www.cisa.gov/news-events/alerts/2026/03/27/cisa-adds-one-known-exploited-vulnerability-catalog

 

5. SSKのセキュリティ運用監視サービスおよび脆弱性診断サービスについて

 SSKでは総合セキュリティサービスとして、セキュリティ運用監視サービス、脆弱性診断サービス、デジタル・フォレンジックサービスなどのセキュリティサービスを展開しております。
 セキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視を行っております。サイバー攻撃対策としてセキュリティ機器を導入しても、継続的な運用監視と分析・判断が伴わなければ十分な効果は得られません。セキュリティ運用監視サービスでは、不審な通信やアラートを継続的に分析し、迅速な通知によって、インシデント発生時に適切に対処できるよう支援いたします。
 脆弱性診断サービスでは、お客様のシステムを診断し、検出された脆弱性への対策をご提案させていただいております。テレワークの常態化やIoT等のデバイスの多様化が進む昨今、特定の攻撃経路だけを想定した「境界防御」に加えて、脆弱性を把握・管理・対処する『本質防御』も必須となっています。脆弱性診断サービスのご活用により、お客様のシステムにおける脆弱性の存否が明らかになります。
 デジタル・フォレンジックサービスでは、万が一のインシデント発生時に、コンピュータやセキュリティ機器などに残された情報を分析し、侵入経路や情報窃取の痕跡等を特定するフォレンジックサービスを提供しております。また、平時の備えとして証拠保全の訓練などを実施する事前アドバイザリーサービスも提供しております。
 これらの総合セキュリティサービスにより、インシデントの予防と、発生時の迅速な対処を両立し、対策コストや被害の抑制に貢献します。

【参考URL】
セキュリティ運用監視サービス:
https://www.ssk-kan.co.jp/e-gate#e-gate--02
脆弱性診断サービス:
https://www.ssk-kan.co.jp/vulnerability-assessment
デジタル・フォレンジックサービス:
https://www.ssk-kan.co.jp/digital-forensics

 

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
 リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

≪お問合せ先≫

ssk_logo.pngサービス&セキュリティ株式会社
〒151-0051
東京都渋谷区千駄ヶ谷5丁目31番11号
住友不動産新宿南口ビル 16階
       TEL 03-4500-4255
       FAX 03-6824-9977
       sales@ssk-kan.co.jp