硝子の縁—渋谷から漢江へ(長編フィクション)
- 山崎行政書士事務所
- 9月19日
- 読了時間: 8分
— 2023年11月に公表された「LINEヤフー(現LY)への不正アクセス:委託先の端末マルウェア感染→NAVER Cloud 側からの乗っ取り→開発環境・社内システムへの到達→ユーザー/取引先/従業員の個人情報が数十万件規模で流出(後に50万件超へ拡大公表)→総務省の行政指導・技術スタック分離要請」を骨格にした創作
00|月曜 03:11 「出していないのに、出ている」
渋谷の夜は、終わらない。青蘭コミュニケーションズの運用フロアでは、夏芽がクラウド監視の小波形を指でなぞっていた。WAFは緑、SIEMも眠そうだ。だけど——韓国側のクラウドに向けて、数十分おきにきれいすぎる呼吸が続いている。HTTP 200で返る短い要求、同じ署名、同じ発信者。
「出していないのに、出ている。」
認証は正しい顔をしていた。dev‑tokenが深夜専用の静かな金庫から規則正しく吐き出され、微妙な時差で別の国へ跳ねている。
夏芽は電話の短縮を押した。
「山崎行政書士事務所に、今夜も。」
01|03:42 “止める/伝える/回す”
静岡・山崎行政書士事務所。ホワイトボードに**律斗(りつと)**が三行を書き入れる。
止める/伝える/回す
止める:対象サブネットを電源を落とさずネットワーク隔離。Outboundは白(許可宛先のみ)に切替、DNSの未知の連鎖を即死に落とす。証跡(RAMダンプ/ディスク・スナップショット/KMSログ/ID発行ログ)を一方向に吸い上げる。常時特権はゼロに、JIT特権(必要時だけ短期貸与)へ。
伝える:三文で経営/広報/所管連絡窓口に同報。“事実”(韓国側クラウドへの規則的なdev‑token使用/当該セグメントの隔離)と**“可能性(仮説)”(委託先PCの感染→NAVER Cloud側からの侵入→開発環境の到達)を段落で分け、正午/17時の更新時刻を宣言。「支払い先変更メールは無効」を文頭**に。
回す:夜間のデプロイは停止。障害復旧は紙の手順+口頭復唱に。遅いけど確実に回す。
りなが頷く。「72時間——所管報告の時計を回します。“声は鍵”(折り返し+二名承認)は全窓口へ。」
奏汰(そうた)が構成図に赤を引く。「同じ森の中に二つの巣——共同の管理(AD/IAMの結合)が橋になってる。NAVER Cloud側の委託先PCが最初の踏み石。そこからdev‑tokenが夜に起き始めた。」
悠真(ゆうま)は短く足す。「署名は正しい。だけど顔が違う。“正しいものの顔をした別人”が門を抜けている。」
ふみかは三文の一次報を置いた。
現状:韓国側クラウドへの規則的なdev‑tokenアクセスを検知。当該セグメントの隔離/Outbound白化/証跡保全、JIT特権化を実施。対応:夜間デプロイは停止、重要作業は紙+口頭復唱。正午に一次報、17時に更新。お願い:“返金・送金先変更”などメールだけの依頼は無効。必ず電話で二重確認を。
受付の**白い猫(やまにゃん)**がしっぽ(Type‑C)を小さく光らせ、札を揺らす。
「遅いけど確実。」
02|04:20 「春の置き手紙」
監査ログの底から、秋ではない足跡が見つかる。初夏、委託先の別会社に所属する一台のPCがマルウェアを拾った。夜更け、見慣れたURLに小さなノック。数週間が過ぎ、別の連携箱へ同じ型の呼吸。
眠らせて、見回って、夜だけ起きる。古い教科書に載っているやり口だが、結合の橋が長く、気づくのが難しい。
夏芽は喉の奥が冷えるのを感じた。
「扉は、春に開いたままだった。」
03|09:00 四つの数字(第一次)
蓮斗(れんと)が白板に数字を書く。
MTTD(検知):49分(時差を跨ぐ規則的アクセスの相関)
一次封じ込め:71分(隔離/白化/証跡保全/JIT化)
想定影響(初期):ユーザー・取引先・従業員の情報が数十万件規模で外部流出の可能性
二次被害:現時点の報告なし(継続監視)
律斗は短く言う。「勝ってはいない。でも**“間に合っている”**。」
04|正午 一次報(所外)
事実:委託先経由とみられる不正アクセスを受け、当社クラウド環境の一部で外部への情報流出の可能性を確認。当該セグメントの隔離/Outbound白化/証跡保全/JIT特権を実施。影響(現時点):ユーザー/取引先/従業員の情報が数十万件規模で影響の可能性。二次被害の報告なし。次報:17:00。“メールだけ”の依頼は無効。電話の折り返し+二名承認で対応。
怒号はある。けれど、時刻が不安の終わりをつくる。
05|午後 「共有の森」を切り分ける
共同の管理は便利だ。だが、境界が曖昧になる。青蘭はNAVER Cloudと技術の森を共有してきた。ディレクトリ、開発の道具、ログの姿。りなは広報台本の主語を太くする。
「当社は、いつ、何を、どう変えるか」「帰属(誰がやったか)は当社が言わない。公的発表に歩調を合わせる。」
奏汰は**“森”の間伐図を描く。
IAMの分離(共有AD/共有ロールの解消)
Outboundの“白”(必要先のみ)
KMSの三層(見る鍵/運ぶ鍵/署名する鍵の分割)
WORMで証跡を二経路に。悠真は**“空の箱”に最小構成を立て、既知良品だけで呼吸**を戻し始める。
06|日没 増える数、減らす言い訳
数字は揺れる。初報の**「約44万件」は、二月には「50万件超」にのびる**。従業員情報の追加確認、社外SaaSにも影。りなは言い訳を削り、段落を二つに固定する。
確認された事実
未確定(継続調査)混ぜない。数字は更新するが、文の型は崩さない。
やまにゃんの札が光る。
「速さは、戻れるときだけ味方。」
07|数日後 行政の時計
総務省の行政指導が届く。通信の秘密とサイバーセキュリティを守るための追加報告と是正指示。技術スタックの分離、監督の実効性、資本関係の見直しにまで言及が及ぶ。The Registerは**“共有ディレクトリの危うさ”を見出しにし、朝日は委託先→親会社→当社という鎖**を描く。りなは短く言う。
「“便利の近道”の代償を、時刻で返す。」
08|渋谷 早朝 ガラスの向こう
ガラス張りのエントランスに、謝罪文が掲示される。夏芽はエスプレッソをすすり、ログを遡る。dev‑tokenは沈黙した。Outboundは白で細く、DNSは未知を即死に落としている。紙の台本は、机の引き出しに戻った。けれど、いつでも引き抜ける場所にある。
09|二月 “最後の報告”と“別の箱”
最終報告の日、青蘭は再発防止策を公にした。委託先の多段監査、SOCの越境連携、技術スタックの分離ロードマップ。別の委託先を通じた不正アクセスも同時に告げる。
「同じ森の別の枝からも、風が入った。」数字はまた少し増え、従業員の追加が付け加えられる。紙の台本は一行目に**「当社からATM操作・送金依頼はしない」、二行目に「パスワードと二要素は同じ箱に置かない」**を置いた。
10|三月 “分ける”という仕事
IAMの分割は人間の仕事だ。見る鍵は監視だけ、運ぶ鍵は限定の宛先だけ、署名する鍵は物理の手で二人が持つ。常時特権はゼロ、JITの短い貸与に押印がいる。開発は別の森で歌い直す。共有の小道はふさがれ、資本の境界は技術の境界と同じ線になるよう、地図が描き直される。
蓮斗の数字が更新される。
MTTD:49分 → 9分(越境dev‑tokenの常設検知)
一次封じ込め:71分 → 28分
常時特権:ゼロ(JIT化完了)
例外期限遵守率:98%
11|講堂 “三つの時計”と三行
現場の時間(開発・運用・サポート)
規制の時間(72時間と継続報告)
経営の時間(信頼・資本・再発防止)
りなは三行で締める。
言い切る(事実と可能性を混ぜない)期限を付ける(例外は48時間で自動失効)二重に確かめる(自動の前後に**“人の10分”**)
奏汰は黒で縁取る。
技術と資本の境界を一致させる。
“共有の森”の小道は閉じる(共有AD/共有ロールの解消)。
Outboundは白だけ、DNSは未知を即死。
証跡はWORMで二経路、越境アラートは別の目に。
やまにゃんが静かに札を揺らす。
「速さは、戻れるときだけ味方。」
12|エピローグ 硝子の縁
渋谷のガラスは今日も透明だ。だけどその縁には、見えない柵がいくつも置かれた。便利は刃にもなる。戻れる速さは人の段落の中にある。夏芽は操作卓の端に紙を一枚差し込み、時刻を押した。漢江の向こうまで伸びていた見えない橋は、いったん外された。次に渡す橋は、短くて、太い。
—— 完
参考リンク(URLべた張り/事実ベース・一次情報/主要公的整理・報道・技術解説)
※物語はフィクションですが、骨格(委託先PCの感染→NAVER Cloud 経由→開発/社内環境の到達、数十万件規模→50万件超への拡大公表、総務省の行政指導、技術スタック分離(共有AD等の解消)要請、LY(旧LINEヤフー)の再発防止策公表)は下記に基づいています。
主な点:LY公式の初報(2023/11/27)および英語版詳細、再発防止策(2024/2/14)、追加漏えいの公表(約5.7万件、従業員等)、piyologによる時系列整理、朝日の初期報道、The Register/The Readable/FT/Reutersによる行政指導と技術・資本関係の見直しの報道、総務省(MIC)関連の行政経過、および**2025/3/31 進捗報告(英語版概要)**を併記しました。
コメント