Microsoft、F5侵害からActive Directory攻撃に発展した多段侵入事例を公開：境界機器は「Tier-0資産」

Microsoftは、F5 BIG-IPの旧版機器侵害を起点に、LinuxサーバやConfluenceへの侵入、Active Directory攻撃に発展した事例を公表した。境界機器と内部アプリの更新遅延が被害拡大を招いたと警告している。

[＠IT]

　Microsoftは2026年5月22日（米国時間）、F5のネットワークトラフィック管理製品「BIG-IP」の脆弱（ぜいじゃく）な旧版機器を足掛かりに企業システム内部に侵入し、「Linux」サーバや「Confluence」「Active Directory」に段階的に攻撃が拡大した事例を公開した。「Microsoft Defender Security Research Team」が分析結果を公表した。

Linux侵入後に内部探索　Confluence、ADの攻略に進展

　サイバー攻撃者は、インターネットに公開されたF5 BIG-IPロードバランサーを悪用して侵入した。対象機器は「Microsoft Azure」で稼働する「BIG-IP Virtual Edition」で、2024年末にサポート終了となった15.1系を使用していた。Microsoftは、外部公開機器が企業ネットワークの防御境界だが、脆弱性悪用時には侵入口に変わる危険性が高いと説明する。

　境界機器には認証情報や証明書、セッション情報、クラウド連携設定などが保存される。侵害後は、こうした信頼関係を悪用し、従来型防御を回避した横展開が可能になる。Microsoftは、VPN機器やファイアウォール、ゲートウェイ装置への攻撃増加が近年顕著になっていると分析した。

　Microsoftによると、攻撃者は侵入後、特権権限を持つアカウントでLinuxサーバにSSH接続し、継続的に操作を実施した。恒久的なバックドアを設置せず、人手による操作を維持していた点も特徴だった。調査段階では「Nmap」による大規模スキャンを実行し、内部ネットワークの端末やサービスを列挙した。この他、コマンドラインツール「gowitness」を使い、HTTPやHTTPSサービスの画面情報も収集していた。

　「Windows」環境には「enum4linux」「netexec」「smbclient」「ldapsearch」「Responder」といった複数のセキュリティ診断ツールを利用し、NTLM（NT LAN Manager）関連攻撃を試行したが、初期段階では成功しなかった。

　攻撃者は後に独自スキャンツールを外部サーバから取得した。このプログラムは「HackTool:Linux/MalPack.B」と検知され、企業内Web基盤やモバイル関連サービスにの接続確認を実行していた。

　調査の過程で、攻撃者は未修正の脆弱性を持つConfluenceサーバを発見した。Confluenceは外部公開されていなかったが、内部ネットワーク到達後に遠隔コード実行に利用された。防御機能によって不正ファイル配置が阻止されたため、攻撃者は最初に侵害したLinuxサーバにFTPサーバを構築し、ペイロード転送を試みた。

　Confluence侵害後には設定ファイルから認証情報を取得し、Windowsインフラへの認証試行を開始した。Microsoftによると、攻撃者はKerberosリレー攻撃や「CVE-2025-33073」を悪用し、ドメイン環境侵害を狙ったという。SSL／TLS設定確認ツール「testssl」も使用され、暗号設定の不備探索も実行した。

　Microsoftは「内部限定公開アプリケーションであっても重大な侵害経路になり得る」と指摘した。外部侵入後は、内部サービスにアクセス可能となり、権限昇格や認証情報窃取に発展しやすい。クラウドとオンプレミスが混在する環境では、アプリ間の暗黙的信頼が攻撃拡大を助長する危険もある。

　同社は対策として、境界機器を「Tier-0資産」と位置付け、ライフサイクル管理と迅速な更新適用を求めた。更新困難な場合、管理画面公開範囲制限や監視強化を推奨している。内部アプリケーションも外部公開サービスと同水準で脆弱性管理を実施すべきだという。

　認証面においては、NTLM利用縮小やSMB署名有効化、LDAP署名やチャネルバインディング導入、EPA適用などを提言した。Linuxサーバ群にDefenderリアルタイム保護適用も重要と説明している。

　Microsoftは今回の事例について、単一の脆弱性侵害が複数基盤を横断し、企業全体に波及する現状を示したケースだと総括している。