秋雨のログイン — WhatsAppの声（長編フィクション）

— 2022年「大手配車プラットフォームの社内侵入：外部委託者の認証情報→MFA“プッシュ疲労”→VPN→ネットワーク共有上のPowerShellに埋め込まれた特権資格→PAM経由で横展開→社内Slackの乗っ取り→バグバウンティ報告等への不正アクセス」という事実を骨格にした創作

00｜木曜 19:12　“少しだけ長い沈黙”

群青モビリティ・社内システム運用室。夏芽は監視ダッシュボードに小さな規則性を見た。VPNの失敗ログインが単調な間隔で続き、そのたびにMFAのプッシュ通知が飛んでいる。

「人間の手で押してる……？」CPUは平穏、WAFは緑。だがMFAの海の向こうから、焦れた指が見える気がした。

夏芽は短縮を押す——山崎行政書士事務所。

01｜19:31　“止める／伝える／回す”

静岡・山崎行政書士事務所。ホワイトボードに**律斗（りつと）**が書く。

止める／伝える／回す

• 止める：当該アカウントをネットワーク的に隔離。MFAプロバイダでプッシュ頻度制限と番号入力（number matching）に即切替。VPNは危険IP帯をミティゲーションへ回し、監査ログを一方向で吸い上げる。

• 伝える：三文で役員／CS／法務に同報。“確認された事実”（MFA要求の異常連発）と**“可能性（仮説）”（外部委託者の認証情報が漏洩し“プッシュ疲労”で突破される線）を段落で分け、正午／17時に時刻で更新する約束。「支払い先変更メールは無効」**を冒頭に。

• 回す：新規申請は手動ワークフローへ一時迂回。遅いけど確実に回す。

りなが頷く。「72時間の法の時計も回します。“声は鍵”（折り返し＋二名承認）を全窓口へ。」

奏汰（そうた）は構成図に赤を引く。「MFA疲労でVPNが通ったら、次は**社内の“置き忘れ”**を探すはず。」悠真（ゆうま）が短く言う。「共有フォルダ、自動化スクリプト、平文資格情報……“人の近道”が刃になる。」

ふみかが一次報の三文を置く。

受付の**白い猫のマスコット（やまにゃん）**が小さく光る札を揺らす。

02｜20:14　“WhatsAppの声”

外部委託者の携帯に、WhatsAppで**「ITサポートです」**という短いメッセージが届いていたことがわかる。

03｜21:03　“PowerShellの置き忘れ”

社内ファイルサーバの共有で、PowerShellの自動化スクリプトが見つかった。バックアップ運用の片隅、コメントは丁寧、資格情報は平文。$SecurePassword = "********"——名ばかりの星。それは特権アクセス管理（PAM）の管理者資格だった。

悠真が息を呑む。「“鍵束の鍵”が置いてあった。」奏汰は首を振る。「便利は、ときどき最短の刃になる。」

04｜21:40　四つの数字（一次）

蓮斗（れんと）が白板に書く。

• MTTD（検知）：20分（MFA要求の異常連発）

• 一次封じ込め：46分（MFA強化／VPNミティゲーション／ログ保全）

• 横展開：PAM管理資格の不正使用痕、SSO／クラウド管理面への昇格

• 社内告知：CS／役員／SOCに同報完了

律斗は短く言う。「勝ってはいない。**“間に合っている”**だけだ。」

05｜22:15　“@here”の一行

社内Slackに新しい投稿が踊った。

りなは広報原稿を整える。「“事実”と“可能性”を混ぜない。“誰がやったか”はわたしたちが言わない。公的発表に歩調を合わせる。」

06｜23:28　“バグの宝箱”

バグバウンティのプラットフォームに、私信が届いていた。閲覧資格を持つ担当者のセッションが使われ、報告群へアクセス。まだ公表できない脆弱性がいくつも。外に流れてはいない——今は。戻れる速さが、まだある。

やまにゃんの札が光る。

07｜翌朝 06:40　“鍵束を分ける”

PAMの全ローテーションを開始。見える鍵／運ぶ鍵／署名する鍵を三つに分け、常時特権をゼロに。必要時だけ（JIT）で短期貸与、貸与の記録は消せない箱へ。SSOの信頼は階段にし、Slackやクラウド管理面は別の目で二段承認。共有フォルダに資格情報を置けないルールを技術で強制する。

08｜正午　一次報（社外）

ふみかが読み上げ、りなが段落を整える。

怒号はない。時刻が不安の終わりを作る。

09｜14:10　“数”の輪郭

監査ログは、几帳面だった。GetCallerIdentity→ListBuckets→ListObjects→GetObjectの呼吸、SSOの昇格イベント、Slackの管理面への侵入。PAMの金庫から取り出された秘密がどの鍵穴に合ったかが見える。奏汰はVPCの口を狭め、“このロールから／このバケットへ／この接頭辞だけ”の細い道にした。

10｜15:32　“人の10分会議”

自動化は便利だが、戻れる線を用意しなければ速さが刃になる。りなは三つを書いて貼る。

1. 言い切る（事実と可能性を同じ文に置かない）

2. 期限を付ける（例外は48時間で自動失効）

3. 二重に確かめる（自動の前後に**“人の10分会議”**）

11｜17:00　二次報

蓮斗の数字。

• MTTD：20分 → 9分（**“異常MFAペア”**の常設監視）

• 一次封じ込め：46分 → 28分

• 常時特権：ゼロ（JITへ）

• 例外期限遵守率：98%

12｜二日後　“@here”の余韻

社内では**“誰がやったのか”の憶測が飛ぶ。りなは会議室で静かに言う。「帰属は私たちが言わない**。公的発表に歩調を合わせる。私たちは**“何が起き、何を止め、どう変えたか”だけ時刻**で言う。」

夏芽はやまにゃんの札を指で叩く。

13｜三日目 11:40　“72時間”の線

所管への報告が二段落で確定する。

• 確認された事実：外部委託者の認証情報を起点としたMFA疲労による侵入、VPN通過、共有上PowerShellの平文資格、PAM経由での横展開、Slack等の社内ツールへの不正アクセス。

• 未確定（継続調査）：第三者提供の有無・範囲、バグバウンティ報告へのアクセス詳細、クラウド管理面での操作確定。

講堂に三つの時計が並ぶ。

1. 現場の時間（申請・CS・社内連絡）

2. 規制の時間（72時間）

3. 経営の時間（信頼・是正・再発防止）

やまにゃんは今日も受付で静かに光り、札には変わらない。

群青モビリティのSSOは階段になり、鍵束は細かく分けられ、“正しい更新”にも“人の10分”が戻ってきた。外の声はきっとまた来る。でも、こちらが開けなければ、誰も入ってこられない。

—— 完

参考リンク（URLべた張り／事実ベース・一次情報／主要報道・技術解説）

※物語はフィクションですが、骨格（外部委託者の認証情報→MFAプッシュ疲労→VPN→共有上PowerShellの平文資格→PAM（Thycotic/Delinea）→SSOやクラウド管理面・Slack等へのアクセス、バグバウンティ報告への不正閲覧、LAPSUS$関与の会社発表）は以下を参照しています。

https://www.sec.gov/Archives/edgar/data/1543151/000155278122000558/e22427_ex99-1.htmhttps://www.csoonline.com/article/573701/uber-links-cyberattack-to-lapsus-says-sensitive-user-data-remains-protected.htmlhttps://www.thehackernews.com/2022/09/uber-blames-lapsus-hacking-group-for.htmlhttps://www.wired.com/story/uber-hack-mfa-phishinghttps://www.wired.com/story/lapsusdollar-uber-rockstar-breach-multifactor-authentication-weaknesseshttps://www.bleepingcomputer.com/news/security/uber-hacked-internal-systems-breached-and-vulnerability-reports-stolen/https://blog.gitguardian.com/uber-breach-2022/https://www.cyberark.com/resources/blog/unpacking-the-uber-breachhttps://portswigger.net/daily-swig/uber-hack-linked-to-hardcoded-secrets-spotted-in-powershell-scripthttps://www.upguard.com/blog/what-caused-the-uber-data-breachhttps://www.infoq.com/news/2022/09/Uber-breach-mfa-fatigue/https://www.cisa.gov/sites/default/files/2023-08/CSRB_Lapsus%24_508c.pdf