F5、BIG-IPシステムを標的とした国家によるサイバー攻撃を開示。重大な悪用や顧客データ侵害の証拠はない

2025年8月9日、F5, Inc.（以下「当社」または「当社」）は、高度に巧妙な国家による脅威アクターが、特定の企業システムに不正にアクセスしたことを知りました。当社は速やかにインシデント対応プロセスを開始し、脅威アクターを封じ込めるために広範な措置を講じました。これらの活動を支援するために、当社は外部の主要なサイバーセキュリティ専門家を雇いました。

当社は、自社の封じ込め措置は成功していると考えており、封じ込め活動の開始以来、新たな不正行為の証拠は確認されていません。調査、監視、および関連する活動は継続中です。当社は、この事件に関連して、連邦法執行機関および政府パートナーと積極的に関わっています。さらに、当社はセキュリティ環境を強化し、顧客を保護するためのさらなる対策を講じています。

調査の過程で、当社は、脅威アクターがBIG-IP製品開発環境やエンジニアリング知識管理プラットフォームを含む特定のF5システムへの長期的かつ永続的なアクセスを維持していると判断しました。このアクセスを通じて、特定のファイルが流出しました。その中には、当社のBIG-IPソースコードの特定の部分と、BIG-IPで取り組んでいた未公開の脆弱性に関する情報が含まれていたものもあります。未公開のクリティカルまたはリモートコードの脆弱性は確認されておらず、未公開のF5の脆弱性が積極的に悪用されていることも確認されていません。ソースコードやビルド/リリースパイプラインを含め、ソフトウェアサプライチェーンに変更があったという証拠はありません。この評価は、大手サイバーセキュリティ調査会社による独立したレビューを通じて検証されています。

当社のCRM、財務、サポートケース管理、またはiHealthシステムからのデータへのアクセスまたはデータ漏洩の証拠はありません。しかし、当社のナレッジ・マネジメント・プラットフォームから抽出されたファイルの中には、ごく一部のお客様の構成情報や実装情報が含まれていたものもあります。当社は現在、これらのファイルの内容を確認中であり、必要に応じて、影響を受けるお客様と直接連絡を取る予定です。

攻撃者がNGINXのソースコードまたは製品開発環境にアクセスまたは変更したという証拠はなく、F5分散クラウドサービスまたはSilverlineシステムにアクセスまたは変更したという証拠もありません。

2025年9月12日、米国司法省は、フォーム8-Kの項目1.05 (c) に従い、公開を遅らせる必要があると判断しました。F5は現在、このレポートを適時に提出しています。

この開示の時点では、このインシデントは当社の事業に重大な影響を及ぼしておらず、当社はこのインシデントが当社の財政状態または経営成績に合理的に及ぼす影響を評価しています。

2025年10月9日、マイケル・モントーヤは、リスク委員会および指名委員会および環境・社会・ガバナンス委員会のメンバーを含め、F5の取締役会（「取締役会」）の取締役としての地位を直ちに辞任しました。彼が取締役会を辞任するという決定は、当社との意見の相違によるものではありません。

モントーヤ氏は取締役会の貴重なメンバーであり、取締役会を辞任した後も引き続き当社での職務を継続し、F5の最高技術執行責任者に任命されました。2025年10月13日付けで、最高経営責任者（CEO）の直属となり、モントーヤは、セキュリティを中核とする会社を構築および運営するための全社的な戦略と実行を主導します。

指名・環境・社会・ガバナンス委員会の勧告に従い、モントーヤ氏の辞任に関連して、取締役会は取締役会のメンバーを11人から10人に縮小しました。このような削減の結果、現在、取締役会には欠員はありません。

2025年10月15日、F5はMyF5カスタマーサポートサイトにインシデントに関する特定の情報を掲載しました。その投稿のコピーは、本レポートの別紙99.1として提供されています。

本項目7.01および別紙99.1の情報は、改正された1934年の証券取引法（「取引法」）のセクション18の目的で「提出」されたとは見なされず、そのセクションの責任の対象とは見なされないものとし、明示的に定められている場合を除き、改正された1933年の証券法または取引法に基づいて提出された登録届出書またはその他の文書に参照によって組み込むことはありません。そのような提出書類では具体的に参考にしてください。