声の鍵 — サービスデスクの夜
- 山崎行政書士事務所
- 2025年9月14日
- 読了時間: 9分
(実在の 2023 年のカジノ大手連続被害〔MGM/Caesars〕の“社会工学×MFA迂回”を下敷きにした長編フィクション)
信頼は顔認証ではなく、手続きでできている。—— りな
0|金曜 19:41 電話の“合図”
「ごめんね、今から会議で……。新しいスマホに替えて、Oktaの認証が通らないんだ。デバイス登録をいったん解除してもらえないかな?」
コールセンターの受話器の向こうで、落ち着いた中年男性の声が震えもなく続く。「CFOの春木。社員番号はK-0371。上席の稟議番号はPL-219。今日中に売上締めがあるんだ。」
夏芽は、指先に汗が集まるのを感じた。本人確認項目は通っている。LinkedInに載っている情報と一致。内線を鳴らせば会議中の本人を捕まえられるかもしれないが、「忙しいCFOを煩わせてはならない」という暗黙の習慣が、彼女の手を止めた。
「解除します。 新しい端末でMFAを再登録してください。」
クリック。——この声が、鍵になった。
1|土曜 00:17 “山崎”のウォールーム
静岡・山崎行政書士事務所。律斗(りつと)は、眠気の代わりに短いペンを握る。ホワイトボードに三行。
止める/伝える/回す
依頼主は地方の観光・ホスピタリティ会社**「天鷺(あまさぎ)リゾーツ」。昨日から予約管理と会員サイトが断続的に落ちている。MFAの再登録が異常な件数**。深夜にかけて決済周りの監視が赤に染まり始めた。
「最初の線は“人の声”だ。」律斗は言う。「サービスデスクの本人確認を強めるのは来週。今夜は被害の足を切る。」
奏汰(そうた)が指を上げる。「ヘルプデスクで再登録された端末から社内VPNに入られてる。条件付きアクセスを**“準拠端末のみ+FIDO2”**に切り替える。緊急ポリシー、Cloud apps: Azure Management は即時。」
悠真(ゆうま)がログを覗く。「“本人の声”でMFAの種別が差し替えられてる。電話一本で鍵を作り替えているんだ。」りなは線を引いた。「“声の社会工学”はヘルプデスクを迂回路にする。MFA疲労じゃない、“MFA再登録のなりすまし”。」
※この手口(サービスデスクに“新端末登録のためMFA解除”を依頼→MFA再登録→正規資格情報で侵入)は、Scattered Spiderの戦術としてCISAが注意喚起している。**“パスワードやMFAのリセットを電話で強要”**するのが典型だ。
ふみかが三文の原稿を置く。
現状:社員アカウントの一部でMFAの不正再登録の疑い。社内アクセスを準拠端末+FIDO2に限定。 対応:予約・決済は稼働継続。内部ツールは権限制御を強化し、一部手作業に切替。 連絡:メールだけの依頼は無効、電話二重確認。正午に一次報、17時に更新。
りなは頷く。「言い切ること。時刻を書くこと。不安に期限を。」
2|土曜 02:31 “支配者の通路”
夜の会員サイトに異常なDL。予約情報の束が一時間で三度吸い上げられかけた。
蓮斗(れんと):「Oktaのログ、“MFAデバイス登録”が10分間に連続。ヘルプデスクの管理画面に**“CFO春木”の一回が見えるけど、その前後で“会員サポート担当”の別ユーザーにも同じ波が来てる。」悠真:「役割チェーンに踏み台が二つ**。“声”で一次突破、“内線知識”で二次突破。支配者は通路を人の手で作る。」
りな:「“どこまで見られたか”は事実の段落。“出たか”は可能性の段落に分ける。混ぜないこと。」
奏汰:「パスワードリセットとMFA再登録は**“二名承認+折り返し”に変更。録音した番号にこちらから折り返す**。外部からの申請は**“一旦拒否”**。経営判断は?」
律斗:「“遅いけど確実”を選ぶ。予約変更は10分遅れを許容。現場には**“遅延の言い方”**を渡せ。」
3|土曜 08:12 “現場”と“規制”の時計
朝の光。ホテル三棟、温浴施設、レストラン。観光客は気付かないが、舞台裏は走っている。
陽翔(はると):「現場には三文で伝える。“スマホ認証の再登録はフロアマネージャー同席”、“支払い先変更メールは無効”、“予約は10分遅れ”。」ふみか:「顧客向けは簡潔に。“安全のため、確認が増えます”。“ご不便は正午までに改善見込み”。」りな:「法の時計は72時間。個人情報の第三者提供の確証はまだなし。“確認された事実”と“可能性”を段落で分けたPPCドラフトを並走。」
※2023年9月、ラスベガスの大手(MGM Resorts と Caesars)でも**“サービスデスクへの社会工学”が発端と報じられ、Oktaも両社が社会工学で突破されたと確認している。Caesarsは会員プログラムのデータ窃取**を当局への届出で認め、社会工学攻撃が起点と説明した。https://www.techtarget.com/searchsecurity/news/366552775/Okta-Caesars-MGM-hacked-in-social-engineering-campaign?utm
蓮斗が四つの数字をスクリーンに出す。
MTTD(検知):41分
一次封じ込め:2時間27分
予約遅延平均:11分
顧客通知率:68% → 正午 100%
律斗:「“勝ってはいない”。“間に合っている”だけだ。17時に二次報で線をもう一本引く。」
4|土曜 11:03 犯人の“声”が増える
助けてくれ。スマホを落とした。今から登壇だ。認証を外してくれ。滑舌の良い青年、若い女性、掠れた老人。声が増えていく。台本は似ている。裏の番号を尋ねると、すぐに答えが返ってくる。
悠真:「情報の種は外にある。SNS、求人、登記。足りない穴は会話で埋める。」りな:「人が鍵を作るなら、人で鍵穴を狭める。“折り返し+二名承認+一次パスの一時停止”。“例外には期限”。」
※この**“ヘルプデスクなりすまし→MFAリセット→新端末登録→正規アクセス化”という“声の鍵”は、Scattered Spiderとして公開警告が出ており、MFA回避やMFAトークンの再登録を電話で強要する様式が特徴**とされる。https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-320a?utm
5|土曜 12:00 正午の報
ふみかが読み上げ、りなが段落を整える。
事実:一部アカウントでMFAの不正再登録の疑い。準拠端末+FIDO2で社内アクセスを限定。予約・決済は継続。影響(現時点):個人情報の第三者提供の確証なし(継続調査)。予約遅延は平均11分。約束:17時に二次報。ヘルプデスクは折り返し+二名承認に切替済。
送信。沈黙が一瞬落ち、厨房の換気扇とフロントのプリンタの音が戻る。
6|土曜 14:20 “支払いの手紙”
脅迫が来る。「48時間以内に連絡がなければ、会員データを公開する」。錠前のアイコン。英語混じりの日本語。要求先は匿名掲示板のURL。
りな:「金額は出ていない。“恐怖の予告”だけ。“払わない指針”は先に示す。」ふみかは顧客FAQに一行を足す。
「当社は不当な要求には応じません。証跡の確保と関係機関への連携を優先します。」
悠真:「暗号化はしていない。窃取→恐喝の流れ。最近の潮流だ。」
※ラスベガスの連続事案でも、恐喝型(データ窃取→身代金)と暗号化+恐喝の併用が報じられた。MGMは約10日間の障害と**$1億規模の損失を公表し、AlphV/BlackCatの関与が伝えられた一方、Caesarsは身代金支払いが報道**された(公式には金額言及なし)。https://www.reuters.com/technology/cybersecurity/mgm-resorts-says-state-federal-regulators-probing-september-cyberattack-2024-02-23/?utm
7|土曜 16:03 “遅いけど確実”の配分
予約の遅延は9分に縮む。会員ポータルの閲覧は生かし、エクスポートは段階的に封鎖。管理者権限は業務ごとに役割分割。
奏汰:「“MFA再登録”を本人+上長+ヘルプデスクの三者会議で承認。仮IDでその場に入る。10分会議を鍵にする。」陽翔:「現場は回せる。“遅れる理由の言い方”が統一されたから。」ふみか:「“安全のため”と“時刻”。この二つが怒りを不安に戻し、不安を納得に変える。」
8|土曜 17:00 二次報
封じ込め:MFA不正再登録の経路遮断、折り返し+二名承認運用に移行。準拠端末+FIDO2の強制を継続。影響:予約遅延9分。事故報告なし。次:明朝までに台帳照合を完了し、疑いアカウントを本人立会いで再発行。72時間ラインの報告ドラフトは準備済。
送信。律斗はペン先で小さな丸を描く。「一次封じ込め完了。**次は“残す”**だ。」
9|日曜 02:10 “声の訓練”
ヘルプデスクの仮想練習。攻撃者役はみお。声色を変え、台本を多様に。「いま空港で……」「至急、上席の決裁が……」「端末を落とした、すぐに……」
夏芽は脚を組み替えず、台本を切る。「了解しました。今お使いの番号にこちらから折り返します。」——声の鍵は、声で閉じる訓練でしか磨けない。
10|日曜 11:55 “管理画面の沈黙”
異常なMFA再登録が止まる。予約の遅延は6分。会員ページの閲覧は平穏。悠真:「相手の時間を奪えている。“声の鍵”が閉まり始めた。」
りなはPPC用の最終草案を置く。
確認された事実:MFA不正再登録、侵入試行、窃取の疑いある照会。暗号化の事実なし。
未確定(継続調査):第三者提供の有無。
封じ込め:折り返し+二名承認、準拠端末+FIDO2、権限分割、台帳照合。
再発防止:“声”に手続**を、例外に期限を、言い切る文を。
ふみかは“読み上げ練習”を志摩——ではなく春木CFOと行う。CFOは最初、目を伏せていた。だが二度目の読み上げで、視線はまっすぐになった。声は会社の心拍だ。
11|月曜 08:10 客室の窓、厨房の火
遅延は5分。解約は平常。口コミの火種は沈む。ヘルプデスクには新しいフローチャート。“Yes/No”ではなく、“折り返し先の確認→上長同席の10分会議→仮IDで本人参加→再登録”。“声”を手続で囲う。
やまにゃんが受付に座る。札にはこうある。
「声だけなら、まだ半分。折り返しで、ほんもの。」
12|一週間後 “声のポストモーテム”
会議室に三つの枠が並ぶ。
技術:準拠端末+FIDO2、条件付きアクセス、権限分割
運用:折り返し+二名承認+10分会議、例外は48時間で自動失効
法務・広報:“言い切る三文”、“時刻の約束”、“事実と可能性”の段落分離
蓮斗の数字。
MTTD:41分 → 17分(可視化の窓調整後)
一次封じ込め:2h27m → 1h09m(ルール固定後)
顧客通知率:正午100%(維持)
例外期限遵守率:96%
りなは最後に注記を配る。
本作の下敷きは、2023年9月に大手カジノ企業が連続して受けた社会工学×MFA迂回の実例。ヘルプデスクへの電話でMFAをリセット・再登録させるScattered Spiderの手口が米CISAの勧告で明文化され、Oktaも両社が社会工学で突破されたと公表。Caesarsは社会工学を起点とする漏えいを届出、身代金支払いの報道が相次いだ。MGMは約10日の業務混乱により四半期で約$1億の損失を記したと報じられている。
奏汰がホワイトボードの端に書く。
“速さは、戻れるときだけ味方。”“声には、折り返しという鍵。”
声は、鍵になった。そして鍵は、手続きでしか守れない。
—— 完
参考(事実ベースの注記・リンク先は報道/公的資料)
CISA(AA23-320A): https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-320a
TechTarget(Okta確認): https://www.techtarget.com/searchsecurity/news/366552775/Okta-Caesars-MGM-hacked-in-social-engineering-campaign
Cybersecurity Dive(Caesars届出要旨): https://www.cybersecuritydive.com/news/caesars-social-engineering-breach/695995/
Reuters(MGM $100M影響): https://www.reuters.com/business/mgm-expects-cybersecurity-issue-negatively-impact-third-quarter-earnings-2023-10-05/
Reuters(規制当局調査・AlphV関与報道): https://www.reuters.com/technology/cybersecurity/mgm-resorts-says-state-federal-regulators-probing-september-cyberattack-2024-02-23/
作者のことばこの小説はフィクションですが、描いた“声で鍵を作り替える”侵入は実在の攻撃を骨組みにしています。手口の具体的手順には踏み込まず、人と手続きの側に焦点を当てました。技術で時間を作り、運用で時間を守り、広報で時間を配り、法務で時間を束ねる——それが“声の鍵”へのいちばん現実的な対抗策だと、私は考えています。
コメント