鳴らないアラート — Strutsの裂け目（長編フィクション）

— 2017年の Equifax 侵害（Apache Struts／CVE‑2017‑5638／検知遅延）を骨格にした物語

00:41｜深夜のフォーム

「送信ボタンを押すたび、アラートは鳴らなかった。」

財務与信サービス会社 星雲クレジット研究所。夜間の申請受付フォームに奇妙なリズムが混ざり始めた。Content‑Type のヘッダが重く、長い。監視卓で 新名（にいな） は眉をひそめる。WAF は反応ゼロ。IDS は沈黙。ただ /upload に届く前に、サーバの息が一瞬だけ乱れる。

「回線の証明書、いつから更新してない？」と新名。「……去年から。」夜勤の 千沙 が小さく答えた。可視化の目が、暗闇に戻っている。

山崎行政書士事務所のスピードダイヤルを押す。長い夜の始まりだった。

01:19｜“止める／伝える／回す”

静岡・山崎行政書士事務所。ホワイトボードに 律斗（りつと） が三行を書く。

止める／伝える／回す

• 止める：外向きの申請ラインを一段引き、該当フォームを孤島化。証跡は一方向で吸い上げる。

• 伝える：三文で社内と主要取引先へ。正午／17時の時刻を約束し、**“事実”と“可能性”**を段落で分ける。

• 回す：紙の与信ワークフローを即時再開。遅いけど確実に審査を回す。

りなが付け加える。「法の時計（72時間）も同時に回します。**“支払い先変更メールは無効”**を最初の三文に必ず。」

奏汰（そうた） は構成図に赤を入れる。「Apache Struts の multipart。古い版が残ってるかもしれない。RCEの穴をヘッダで穿たれるやつ。」悠真（ゆうま） はコマンドを打つ手を止めない。「/etc/ の触られ方が人間っぽい。インタラクティブの痕だ。“入れた”じゃなく、“入ってる”。」

ふみか が一次報の原稿を置く。

「時刻は安心の枠。」りなが赤を入れる。

02:06｜“鳴らない”理由

悠真がパケットとプロセスの狭間を拾い上げる。「SSL検査、証明書期限切れで目が曇ってた。中身が見えてなかった。」新名は苦笑する。「**“見ているつもり”**だったのに。」

ログの奥で、着火点が浮かぶ。Content‑Type に細工された文字列が、OGNL という手話でサーバの意志を書き換える。ファイルを送るフリで、命令を送らせる。――CVE‑2017‑5638。古い裂け目が今夜も口を開けた。

蓮斗（れんと） が四つの数字を出す。

• MTTD（検知）：47日（逆算／可視化の盲目期間を含む）

• 一次封じ込め：1時間31分（孤島化）

• 紙運用稼働率：70% → 正午90%

• 資格情報回転率：管理者60%／API 40%（進行中）

律斗は短く言う。「勝ってはいない。**“間に合う形”**を作る。」

03:18｜川口で止血

外向きの帯域が細く絞られる。/upload は案内板だけを残し、裏口は消えた。DB の読み出しは一方向トンネル、書込みは遮断。陽翔（はると） が現場に電話する。「フォーム入力は一時停止、FAXと電話で一次受付。復唱と二名承認を徹底。」

受付カウンターには白い猫のマスコット。しっぽはUSB Type‑C。札にはマーカーで、“遅いけど確実。”

07:05｜朝の三文

ふみか の一次報が経営陣と主要顧客に出る。「正午に一次報」「17時に更新」――時刻が怒りの温度を下げる。りな は PPC（個人情報保護委員会）向けに二段落を整える。

• 確認された事実：申請フォーム経由の不審な操作、該当プロセスの隔離、資格情報の回転を実施。

• 未確定（継続調査）：第三者提供の有無、影響範囲、期間。

「混ぜない。事実と可能性を同じ文に入れない。」りな。

10:12｜“どこまで見られたか”

悠真 がデータの河口を洗う。照会API に夜間の連続アクセス。件数は小さな山が連日。人名・住所・生年月日――与信の骨組みに触れた指がある。「**“盗られた”と書けない。“見られた可能性”**は書く。」悠真。

奏汰 は照会上限を一日単位から時限ウィンドウへ。しきい値は今日だけ厳しめ。陽翔 はコールセンターに脚本を配る。「“ご本人確認のために復唱が増えます”の一行を必ず添える。」

12:00｜正午の報

窓口は落ち着き、FAXの紙音がリズムを刻む。新名 は目の下のクマを指で押さえ、「鳴らないアラートより、時刻が効く日がある」と呟いた。

13:50｜“後から気づく”罪

経営会議。「どうしてパッチが当たっていなかった？」という問いに、空気が固くなる。奏汰 が正面から受ける。「資産台帳に古いゾーンが残っていました。自動適用の対象外。“いつか直す”が今日まで延びました。」りな が線を引く。「責任は個人ではなく仕組みに置きます。例外には期限を、期限切れの例外は自動で戻す。」

ふみか はFAQに一行を足す。

身代金の話は出てこない。これは“盗み”と“沈黙”の事件だ。

16:12｜“鍵束”を細かく

SAML と OAuth の連携を一度切断。再発行は業務単位で、二名承認と**“10分会議”を鍵にする。管理者権限は職務で分割し、全部の鍵束を誰にも渡さない**。蓮斗 の数字が緑に寄る。

• 紙運用稼働率：96%

• 回転済み資格情報：管理者100%／API 87%

• 外向き不審通信：0（直近6時間）

17:00｜二次報

律斗 はホワイトボードに小さく書く。

22:30｜“見える化”を戻す夜

証明書は新しく、監視は生き返る。Struts は安全版に上げ、自動適用の範囲に置き直す。可視化には二つの新パネルが増えた――“署名検証の成否”と“例外の期限切れ件数”。

新名 はモニタの青に目を細める。「鳴るべきアラートが鳴るようになった。」

2日目 08:05｜声を整える

コールセンターの読み上げ練習。みお が攻撃者役で「端末が……」と声を変える。夏芽 は脚本の最初の一行を短く返す。「今の番号に折り返します。上長同席の10分会議で再登録します。」声は鍵になる。手続きで鍵穴を狭める。

一週間後｜ポストモーテム「鳴らないアラートの治しかた」

講堂に三つの時計が並ぶ。

1. 現場の時間（審査・照会・問い合わせ）

2. 規制の時間（72時間）

3. 経営の時間（信用・費用・再発防止）

蓮斗 の数字。

• MTTD：47日 → 2日（盲点解消後）

• 一次封じ込め：1h31m → 49m

• 資格情報回転所要：初動10h → 5h

• 例外期限遵守率：98%

りな は三行で締めくくる。

受付のやまにゃんが小さく光る。札には、変わらない一行。

―― 完

参考リンク（事実ベース・一次情報／主要報道）

※物語はフィクションですが、骨格となる事実（CVE‑2017‑5638／Strutsの脆弱性、検知遅延・証明書失効の盲点、影響規模・公的整理、起訴・和解等）は以下の資料に基づいています。

https://nvd.nist.gov/vuln/detail/CVE-2017-5638https://cwiki.apache.org/confluence/display/WW/S2-045https://oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdfhttps://www.ftc.gov/enforcement/cases-proceedings/refunds/equifax-data-breach-settlement