種（シード）の帳簿 — 失われた“二要素”の冬（長編フィクション）

— 2011年 RSA SecurID 侵害（スピアフィッシング／Flashゼロデイ／シード情報窃取→防衛関連への波及）を骨格にした物語

00｜月曜 22:07　“正しい数字なのに、拒否される”

鳳雛（ほうすう）エアロシステム。設計部の夜勤フロアで、夏芽はVPNのアラートを二度見した。SecurIDのワンタイムコードと社員IDの組み合わせが連続で失敗している。ログは異様に整っていた。分秒の揺らぎが不自然に小さい。同時刻に別アカウントでも同じ地方から試されている。「パスワード誤りの顔じゃない……“数字”が当たりに来てる。」夏芽は山崎行政書士事務所へ電話を入れた。

01｜22:34　“止める／伝える／回す”

静岡・山崎行政書士事務所。ホワイトボードに**律斗（りつと）**が三行だけ書く。

止める／伝える／回す

• 止める：VPNの時間的制約を即時強化（勤務帯外の拒否）、SecurIDのPIN再登録を特権アカウントから優先。海外からのアクセスを白リスト方式に切替。

• 伝える：三文で現場・役員・主要取引先へ。正午／17時に時刻の約束。**“確認された事実”と“可能性（仮説）”**を段落で分ける。

• 回す：設計の出入りは孤島端末＋紙の承認票で遅いけど確実に続行。納期は死守。

りなが補う。「72時間の法の時計も回します。**“支払い先変更メールは無効”**を最初の三文へ。」

奏汰（そうた）は図面に赤を入れる。「“正しいように見える数字”が連続。トークンの種（シード）をどこかで盗られ、外で生成されている可能性。」悠真（ゆうま）は頷く。「二要素の片側が外に出た。もう片側（PINやパス）が釣られたか、推測されたか。」

02｜23:50　“開かない扉”の向こう側

夜が沈むほど、OTPの誤試行は規則的になった。秒針が最短距離で走ってくる。人の手とは思えない律義さ。**蓮斗（れんと）**が四つの数字を出す。

• MTTD（検知）：22分

• 一次封じ込め：41分（勤務帯外拒否・白リスト化）

• PIN再登録：特権98%／一般32%（進行中）

• 拒否ログの“同時刻群”：7束／時

律斗は短く言う。「勝ってはいない。**“間に合っている”**だけだ。」

03｜翌朝 06:40　“手順で速さを作る”

陽翔（はると）が現場に電話した。「VPN滞留は業務にしない。孤島端末から必要な図面だけ吐き出し、紙の承認票で二名復唱。USBは一方向、戻さない。」受付には白い猫のマスコット。しっぽのUSB Type‑Cが朝日を拾い、札には太い字で、

04｜09:10　“種の帳簿”という仮説

りなが英字ニュースを机に置く。“SecurID関連情報が盗まれた”というベンダの書簡。そこには、“直接攻撃を可能にする情報ではないが、二要素の有効性を低下させ得る”という言い回しがあった。「種（シード）の帳簿を狙われたんだ。」悠真。「時計と番号が外に出れば、数字は作れる。残る鍵は人のPINと運用。」

奏汰は手順を並べ替える。「特権系のPINは対面再登録＋折り返し。一般は10分会議（本人・上長・セキュリティ）で。例外には期限、48時間で自動失効。」

05｜12:00　正午の報

ふみかが読み上げ、りなが段落を整える。

怒号はない。時刻が不安の終わりを作った。

06｜13:35　“地図の外側”から来る手

コールセンターに不自然な照会が増えた。「トークンを落とした」「急ぎでPIN再登録を」。みおが攻撃者役で読み上げる声に、夏芽は脚本どおり返す。「今の番号に折り返します。上長同席の10分会議で再登録します。」声は鍵になる。手続きで鍵穴を狭める。

07｜15:10　“二文字”ぶんの距離

午後、海外拠点のログに**“正しい数字＋古いPIN”が束になって現れた。あと二文字が足りない**。りなは言う。「彼らは種を持ち、PINを探している。そこで止める。」奏汰はPIN再登録を強制、桁も増やす。3回連続失敗で即時ロック＋折り返し。

08｜17:00　二次報

律斗はペン先で小さな丸を描く。「一次封じ込めは完了。残すのは手順と地図だ。」

09｜夜 21:20　“交換”という答え

鳳雛に小さな段ボールが届く。新しいトークンが番号順に並ぶ。悠真は配布台帳を開き、古い種を切り離す線を引いた。復旧は戻すことではなく、別の鍵束に引っ越すことだ。

10｜二日後 08:05　“戻れる速さ”の位置

監視盤の赤は青になり、拒否ログの束は消えた。蓮斗の数字。

• MTTD：22分 → 9分（監視窓の再設計）

• 一次封じ込め：41分 → 26分

• PIN再登録完了：100%

• トークン交換率：特権100%／一般92%

夏芽は新しいトークンを握り、昨日より重いと感じた。重さは手続きの重さだ。

11｜三日後 11:50　“72時間”の線

PPCへの報告が二段落で確定する。

• 確認された事実：不審なOTP試行、勤務帯外拒否・白リスト化、PIN再登録、トークン交換の進捗。

• 未確定（継続調査）：侵入の初期経路（釣りメール／外部情報照合の可能性）、影響範囲。

りなは三行で締めくくる。

受付のやまにゃんが小さく光る。札には、変わらない一行。

二要素は魔法ではない。種が外に出ても、人と手続きでもう一度“二つ”にする。冬は長い。だが、帳簿は人の手で書き換えられる。

—— 完

参考リンク（URLべた張り／事実ベース・一次情報・主要報道・技術解説）

※物語はフィクションですが、骨格となる事実（RSAがSecurID関連情報の窃取を公表／攻撃はスピアフィッシングとFlashゼロデイを含む／“2011 Recruitment Plan.xls”／Poison Ivy後段／Lockheed等への波及／トークン交換の判断）は以下を参照しました。

https://www.sec.gov/Archives/edgar/data/790070/000119312511070159/dex991.htmhttps://arstechnica.com/information-technology/2011/04/spearphishing-0-day-rsa-hack-not-extremely-sophisticated/https://arstechnica.com/information-technology/2011/10/rsa-details-march-cyber-attack-blames-nation-state-for-securid-breach/https://archive.f-secure.com/weblog/archives/00002225https://archive.f-secure.com/weblog/archives/00002226.htmlhttps://www.reuters.com/article/2011/10/11/us-emc-rsa-breach-idUSTRE79A4TR20111011https://www.reuters.com/article/business/lockheed-network-hit-by-major-disruption-sources-idUSN26137834/https://www.reuters.com/article/markets/us/update-2-hackers-breached-us-defense-contractors-idUSN27179369/https://www.wired.com/2011/06/rsa-replaces-securid-tokenshttps://isc.sans.edu/diary/10564https://www.wired.com/story/the-full-story-of-the-stunning-rsa-hack-can-finally-be-told/