沈黙の星座 — Orionの冬(長編フィクション)
- 山崎行政書士事務所
- 9月15日
- 読了時間: 7分
— 2020年「SolarWinds Orion サプライチェーン侵害(SUNBURST/Solorigate)」を骨格にした創作
00|日曜 23:58 “監視する者”が監視される
星辰(せいしん)マイクロデバイスの運用室。夏芽は、保守窓の終わりにOrionのダッシュボードを眺めていた。CPUは平穏、イベントは散発。なのにDNSの隅で細い針が動く。avsvmcloud[.]com——聞き覚えのない雲の名前が、一定間隔で呼ばれている。
「外に出ていく?」フロントの監視が頷く。「Sysmonは静か。でもOrionからだけ変な息がある。」
夏芽は山崎行政書士事務所の番号を押した。
01|00:26 “止める/伝える/回す”
静岡・山崎行政書士事務所。ホワイトボードに**律斗(りつと)**がいつもの三行を書く。
止める/伝える/回す
止める:Orionサーバを孤島化。NICを落とし、境界で宛先ドロップ。SolarWindsサービスを停止。サービスアカウントとドメイン特権を即時回転。ADFSがあれば署名鍵の棚卸し。
伝える:三文で社内/主要取引先へ。“確認された事実”と“可能性(仮説)”を段落で分け、正午/17時の更新時刻を約束。「支払い先変更メールは無効」を最初に。
回す:監視は只見(ただみ)盤へ切替。SNMPとログ収集を代替で最小に。遅いけど確実に回す。
りなが補足する。「72時間の法の時計も回します。“声は鍵”の台本(折り返し+二名承認)を全窓口へ。」
奏汰(そうた)は構成図に赤を走らせる。「Orionの更新に紛れた“別人”。DNSで健康診断ごっこをし、寝たふり(12〜14日)のあと、内側に手を伸ばす。」悠真(ゆうま)がうなずく。「SUNBURST。C2はDNS。次はクラウドへ足跡を延ばす可能性。ADFSとSAMLの鍵束を要確認。」
ふみかが三文を置く。
現状:Orionサーバから不審な外向きDNSを検知。当該サーバの孤島化/停止、特権資格情報の回転を実施。対応:監視は代替系で継続。ADFS署名鍵/クラウド連携は棚卸し。正午に一次報、17時に更新。お願い:“支払い先変更”などメールのみの依頼は無効。必ず電話で二重確認を。
受付カウンターの白い猫のマスコット(やまにゃん)が、しっぽのType‑Cで小さく光る。札には太い字で、
「遅いけど確実。」
02|01:12 眠る刃の呼吸
DNSログの粒を束ねると、息の形が見えてきた。初回問い合わせ、環境確認、しばしの沈黙、次の宛先の指示。悠真が指で机を叩く。「CNAMEで踏み台を渡り歩く昔の曲。Sinkholeで紐を切られたら止まる可能性もある。」
蓮斗(れんと)が四つの数字を出す。
MTTD(検知):28分(DNS異常から)
一次封じ込め:51分(孤島化・停止・回転)
横展開兆候:ゼロ(現時点)
クラウド監査:開始(MFA/転送ルール/アプリ同意)
律斗は短く言う。「勝ってはいない。**“間に合っている”**だけだ。」
03|06:40 “黄金の切符”の検査
朝。ADFSの扉に二重鍵をかけ直す。トークン署名証明書と暗号化証明書を再発行、古い鍵束は廃止。りなが言う。「Golden SAMLの盲点は**“一度盗まれた署名鍵”。クラウドで“正しい顔”をして歩けてしまう**。鍵束は今、変える。」
夏芽はMicrosoft 365の監査を回す。不審なアプリ、古い転送ルール、普段いない国からの影。見つかったものたちは静かにゴミ箱へ。
04|09:15 “正しい更新”の顔をした誰か
Orionのプログラムフォルダで、見慣れたDLLに見慣れない気配。SolarWinds.Orion.Core.BusinessLayer.dll——日付が妙に若い。署名は**“正しく”見え、ファイルサイズは微妙に違う。奏汰が囁く。「正しい服に別の人間**。こいつが**“監視する者”を乗っ取る**。」
りなはPPC向けドラフトを二段落で整える。
確認された事実:Orionサーバの外向きDNS異常、孤島化、サービス停止、資格情報回転、ADFS署名鍵の再発行。
未確定(継続調査):第三者提供の有無・範囲、クラウド資産への影響、初期侵入時期。
「混ぜない。事実と可能性を同じ文に置かない。」りな。
05|12:00 正午の報
ふみかが読み上げ、りなが段落を整える。
事実:Orionの外向きDNS異常を検知し、孤島化/停止、資格情報回転、ADFS署名鍵再発行を実施。監視は代替系で継続。影響(現時点):横展開の確証なし。個人情報の第三者提供の確証なし(継続調査)。約束:17時に更新。“メールだけ”の依頼は無効、電話二重確認を。
怒号はない。時刻が不安の終わりを作る。
06|14:10 “雲”へ伸びた手を折る
クラウドで見落とされやすい場所を潰す。“ユーザー同意アプリ”の権限、外部転送、古い共有リンク、特権ロールの常時付与。JIT特権(必要なときだけ権限付与)を本番に、常時特権はゼロへ。
悠真はアラートを二つ足す。“不審なSAMLトークン”と“不自然な国からの成功サインイン”。声で鍵穴を狭くするだけでなく、数字でも狭くする。
07|17:00 二次報
封じ込め:Orion停止・孤島化、資格情報回転、ADFS鍵再発行、クラウド監査、JIT特権の導入。影響:監視遅延 9分(許容)。事故報告なし。次:夜間にOrionを新環境(空の箱)へ引っ越し、証跡の保全と比較を継続。72時間の報告線を維持。
律斗はペン先で小さな丸を描く。「一次封じ込めは完了。残すのは手順と地図だ。」
08|21:40 “戻す”のではなく“引っ越す”
新しいOrionは最小構成で立ち、自動更新は切られ、ジョブには**“人の10分会議”が挟まる。DNSの見張りは別系統**、外向きは白リスト。ログは書換不能の保全庫へ二経路で落ちる。
やまにゃんの札が光る。
「速さは、戻れるときだけ味方。」
09|二日目 08:05 沈黙の星座
新聞は**“世界規模”の文字で埋まる。FireEyeが被害の検知を発端に世界へ警鐘を鳴らし、CISAはED 21-01でOrionの遮断を勧告**。MicrosoftはSinkholeでC2の糸を切り、各社が検知ルールを配る。
りなは三行を濃く書く。
言い切る(事実と可能性を混ぜない)期限を付ける(例外は48時間で自動失効)二重に確かめる(自動の間に**“人の10分”**)
蓮斗の数字。
MTTD:28分 → 11分(DNSアノマリの閾値調整)
一次封じ込め:51分 → 31分
特権の常時付与:0(JIT化)
例外期限遵守率:98%
10|正午 72時間の線
PPCへの報告が二段落で確定する。
確認された事実:Orionの外向きDNS異常、孤島化/停止、資格情報回転、ADFS署名鍵再発行、クラウド監査、新環境への引っ越し。
未確定(継続調査):第三者提供の有無・範囲、初期侵入時期、外部各機関との照合。
夏芽は代替盤の緑を見つめる。「鳴るべきアラートが、鳴る。」
11|一か月後|ポストモーテム「監視を監視する」
講堂に三つの時計が並ぶ。
現場の時間(監視・保守・障害)
規制の時間(72時間)
経営の時間(信頼・費用・再発防止)
教訓は四つになった。
“監視する者”を別の目で監視する(DNS・プロセス・改ざん検知は別系統)。
鍵束を分ける(見る鍵/変える鍵/署名する鍵を別人に)。
“正しい更新”でも“人の10分”を挟む(自動の前後で記録と説明)。
雲の線は短く(JIT特権、最小権限、同意アプリ監査を週次)。
やまにゃんは今日も受付で小さく光り、札には変わらない。
「速さは、戻れるときだけ味方。」
沈黙の星座は並べ替えられ、Orionは別の空で輝き直した。監視は戻った。だが、鍵は三束に分けたままにしておく。
—— 完
参考リンク(URLべた張り/事実ベースの注記・一次情報/主要技術・公的整理)
※物語はフィクションですが、骨格(SolarWinds Orion のサプライチェーン侵害、SUNBURST/Solorigate のC2手口と遅延、ED 21‑01の遮断勧告、シンクホール対応、ADFS署名鍵→Golden SAMLのリスク、クラウド監査・JIT特権の推奨)は以下に基づいています。
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst.htmlhttps://www.cisa.gov/news-events/cybersecurity-advisories/aa20-352ahttps://cyber.dhs.gov/ed/21-01/https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromise-of-solarwinds-orion-platform/https://www.microsoft.com/security/blog/2020/12/17/microsoft-security-response-center-solorigate-customer-guidance/https://www.volexity.com/blog/2020/12/14/dark-halo-leverages-solarwinds-supply-chain-compromise-to-exploit-microsoft-365/https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/solarwinds-raindrop-malwarehttps://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/https://github.com/cisagov/Sparrowhttps://www.whitehouse.gov/briefing-room/statements-releases/2021/04/15/fact-sheet-imposing-costs-for-harmful-foreign-activities-of-the-russian-government/https://www.cisa.gov/news-events/news/joint-statement-fbi-cisa-odni-and-nsa-cyber-incidenthttps://www.solarwinds.com/trust-center/security-advisories/orion-platform-update
上記には FireEye/Mandiant の初報、CISA のED 21‑01および詳細勧告、Microsoft による技術解説・顧客ガイダンス、Volexity の Golden SAML 事例、Symantec/CrowdStrike の追加マルウェア分析(RAINDROP/SUNSPOT)、CISA の検出支援ツール(Sparrow)、米政府の発表、SolarWinds公式通達 を含みます。
コメント