二つの桁 — トークンの春(長編フィクション)
- 山崎行政書士事務所
- 9月17日
- 読了時間: 6分
— 2011年「RSA SecurID 侵害:スピアフィッシング→Flash 0‑day(CVE‑2011‑0609)→Poison Ivyで内部到達→SecurID関連情報の流出→国防系企業への二次攻撃・試行→大規模トークン交換」を骨格にした創作
00|木曜 21:07 “合っているのに、違う”
蒼橋(あおばし)航空システム、夜のSOC。夏芽はVPNの成功ログインが小刻みに並ぶのを見て眉をひそめた。発信元は同じ国、同じプロバイダ。利用者は夜勤組ではない。ワンタイムパスコードは正しい。なのに端末の姿は違う。
「合っているのに、違う。」
Impossible Travelのアラートは沈黙したまま。時間差だけを正しく計算しているからだ。夏芽は内線を取る——山崎行政書士事務所。
01|21:23 “止める/伝える/回す”
静岡・山崎行政書士事務所。ホワイトボードに**律斗(りつと)**が三行を書く。
止める/伝える/回す
止める:疑義のVPNセッションをネットワーク的に隔離。RADIUSで**“二つの桁”(PIN+トークンコード)に端末指紋と地理の閾値を重ねる暫定ポリシーを即時反映**。特権昇格はJIT(必要時のみ短期付与)に切替。証跡は電源を落とさず一方向に保全。
伝える:三文で役員/重要部署/委託先に同報。“確認された事実”(正しいコードでの不審ログイン)と**“可能性(仮説)”(二要素の片翼=トークン側の情報漏えい)を段落で分け、正午/17時の更新時刻**を約束。「支払い先変更メールは無効」を一文目に。
回す:リモート運用は電話の折り返し+二名承認に一時迂回。遅いけど確実に回す。
りなが頷く。「72時間の法の時計を回します。“声は鍵”を全窓口で。」
奏汰(そうた)が構成図に赤を走らせる。「数か月前、委託先を起点に古いExcelが釣り針としてばら撒かれた。中にFlashの0‑day(CVE‑2011‑0609)が埋め込まれていたはず。Poison Ivyで岩肌に根を広げ、持って行くべきもの——シード情報や連番をまとめて。」
悠真(ゆうま)が短く足す。「“二つの桁”の片方が敵の懐にあるなら、もう片方(PINや人の確認)を厚くするしかない。」
ふみかが一次報の三文を置く。
現状:正しいワンタイムコードを用いた不審ログインを検知。疑義セッション隔離/RADIUS補強/JIT特権化を実施し、証跡保全を開始。対応:遠隔作業は電話折り返し+二名承認に迂回。正午に一次報、17時に更新。お願い:“支払い先変更”などメールのみの依頼は無効。必ず電話で二重確認を。
受付の白い猫のマスコット(やまにゃん)が、しっぽのType‑Cで小さく光る。札には太い字。
「遅いけど確実。」
02|21:58 “2011採用計画.xls”
委託先SOCから共有が届く。件名は**“2011採用計画”。Excelの中にFlashが埋め込まれていて、開いただけで滑り込む**。C2は夜明け前に短い問いを投げ、中継は倉庫を装った。夏芽は胸骨の裏が冷えるのを感じた。
「扉は、過去に開いていた。」
03|22:30 四つの数字(第一次)
蓮斗(れんと)が白板に数字を書く。
MTTD(検知):23分(**“正しいのに違う”**ログインの偏り)
一次封じ込め:47分(隔離/RADIUS補強/JIT化)
疑義セッション:4(同ASNから連続)
二次リスク:設計図・R&D文書への権限昇格試行(阻止)
律斗は短く言う。「勝ってはいない。**“間に合っている”**だけだ。」
04|23:15 “二つの桁”を三つにする
RADIUSに端末証明書と地理閾値を重ね、“二つの桁”は実質三つになる。PINは紙に移す(面前リセット)、トークンは分割配送。りなが広報台本を整える。「“誰がやった”は私たちが言わない。公的発表に歩調を合わせる。私たちは**“何が起き、何を止め、何を変えたか”を時刻**で言う。」
05|翌朝 06:20 “試される扉”
相手は諦めない。正しい桁を叩き、昇格の端を撫でる。だが、JIT特権の貸与には**“人の10分会議”が挟まれ、端末証明書が別の声を退けた。夏芽は紙の台帳に貸与時刻を押印**しながら、息を整える。
06|正午 一次報(社外)
事実:正しいワンタイムコードを用いた不審ログインを検知し、疑義セッション隔離、RADIUS多因子化、JIT特権を導入。委託先でExcel+Flash 0‑dayを起点とする過去の侵入口を突合。影響(現時点):設計文書への不正アクセス試行を確認(遮断)。個人情報の第三者提供の確証なし(継続調査)。約束:17時に更新。“メールだけ”の依頼は無効、電話二重確認を。
怒号は少ない。時刻が不安の終わりを作る。
07|午後 “外の報”
報道は、大手セキュリティ企業への侵害と**“SecurID関連情報”の流出を伝えた。“置き場”がやられたのだ。鍵束の片方が敵の袋にある。政府系のパートナーは緊急の通達を出し、トークン交換の段取りをまとめ**始める。
やまにゃんの札が光る。
「速さは、戻れるときだけ味方。」
08|17:00 二次報
封じ込め:疑義セッション遮断とRADIUS補強を維持。端末証明書+地理閾値を常設に、JIT特権を標準運用へ。影響:設計・R&D系で遅延、業務は継続。次:夜間にトークンの段階交換計画を公表、翌朝から面前リセットを開始。72時間の線を維持。
蓮斗の数字。
MTTD:23分 → 11分(“正しいのに違う”検知の常設化)
一次封じ込め:47分 → 29分
常時特権:ゼロ(JIT化完了)
例外期限遵守率:98%
09|数週間後 “交換”の日々
トークンは新しい種に入れ替わり、PINは窓口で読み合わせられる。面前の遅さは厄介だが、戻れる速さはそこで生まれる。夏芽は貸与簿の最後の列にスタンプを押し、古い種を粉砕する音を聞いた。
10|講堂 “三つの時計”と三行
現場の時間(設計・認証・委託)
規制の時間(72時間)
経営の時間(信頼・費用・再発防止)
りなは三行で締める。
言い切る(事実と可能性を混ぜない)期限を付ける(例外は48時間で自動失効)二重に確かめる(自動の前後に**“人の10分会議”**)
奏汰は黒で縁取る。
“二つの桁”に第三の要素(端末証明/地理閾値)を重ねる。
鍵束を分ける(見る鍵/運ぶ鍵/署名する鍵)、常時特権はゼロ。
委託先の入口は弱い鎖を想定し、一段手前で止める(分離・最小経路)。
やまにゃんは今日も受付で静かに光り、札には変わらない。
「速さは、戻れるときだけ味方。」
蒼橋航空システムの夜はふたたび静かになった。“合っているのに違う”を数字で拾い、“二つの桁”を三つにした。過去に開いた扉は、今、紙と声で**ふさがっている。
—— 完
参考リンク(URLべた張り/事実ベース・一次情報/主要技術・公的整理・報道)
※物語はフィクションですが、骨格(RSA SecurID 侵害の経緯、Excel+Flash 0‑day(CVE‑2011‑0609)、Poison Ivy、SecurID関連情報の流出、国防系企業への二次攻撃・試行、トークン交換)は以下に基づいています。
https://nvd.nist.gov/vuln/detail/CVE-2011-0609https://www.f-secure.com/weblog/archives/00002128.htmlhttps://www.rsa.com/en-us/blog/2011-04/anatomy-of-an-attackhttps://www.rsa.com/en-us/blog/2011-03/an-open-letter-to-rsa-customershttps://www.wired.com/2011/06/rsa-securid-tokens/https://arstechnica.com/information-technology/2011/06/rsa-breach-started-with-an-excel-spreadsheet/https://www.reuters.com/article/us-lockheed-cyber-idUSTRE74S1ND20110529https://www.theguardian.com/technology/2011/jun/06/rsa-securid-tokens-replacementhttps://krebsonsecurity.com/2011/03/inside-the-rsa-securid-breach/
主な点:NVDがCVE‑2011‑0609を整理、F‑Secureが**“2011 Recruitment Plan”を含むフィッシング文書を紹介、RSAが「Anatomy of an Attack」と顧客向け公開書簡で流出対象と対応を公表。Reuters/Wired/Ars/Guardian/Krebsが防衛産業への波及(Lockheedなど)**、トークン交換の決定を報じています。
コメント