雲の裂け目 — WAFの向こうの声（長編フィクション）

— 2019年の「クラウドWAFの設定不備＋SSRF→IMDS経由で一時資格情報を奪取→S3列挙・コピー→100M超の応募・口座関連情報流出（のちに容疑者逮捕・起訴・有罪）」を骨格にした創作

00｜土曜 08:14　“遅い”ではなく“妙だ”

青磁（せいじ）カードのクラウド運用室。夏芽はWAFのダッシュボードで5xxが薄く立ち上がるのを見た。CPUは平穏、オートスケールも静か。なのに、監査ログの端で、ListBucketsとGetCallerIdentityがつがいになって現れては消える。誰が呼んでいる？ユーザではない。アプリでもない。

夏芽は短縮ダイヤルを押す——山崎行政書士事務所。

01｜08:31　“止める／伝える／回す”

静岡・山崎行政書士事務所。ホワイトボードに**律斗（りつと）**が三行を書く。

止める／伝える／回す

• 止める：公開WAFのアウトバウンドをホスト隔離（IMDS 169.254.169.254 への到達をセグメントごとに遮断）。該当インスタンスは電源を落とさずにネットワーク隔離。一時資格情報（STS）の強制失効とキー回転。S3はサーバサイド暗号化必須＋ブロックパブリックアクセスに即移行。

• 伝える：三文で役員／法務／CSへ同報。“確認された事実”（異常なAPI呼び出し）と**“可能性（仮説）”（WAFを経由したSSRF／IMDS悪用の線）を段落で分け、正午／17時の更新時刻**を約束。「支払い先変更メールは無効」を一文目に。

• 回す：新規申込はオフライン審査へ迂回。審査部は**“紙→スキャン→隔離保管”**の遅いループで継続。遅いけど確実に回す。

りなが補う。「72時間の法の時計を回します。“声は鍵”（折り返し＋二名承認）を全窓口で。」

奏汰（そうた）は構成図に赤を走らせた。「WAFのリクエスト正規化に薄い穴。SSRFでIMDSv1へ触った形跡。そこでロール付与の一時資格情報をもらい、S3へ列挙→コピー。教科書どおりだ。」悠真（ゆうま）が短く言う。「“鍵束”が大きすぎた。見る鍵と持ち出す鍵を分けるべきだった。」

ふみかが一次報の三文を置く。

受付の白い猫のマスコット（やまにゃん）が、しっぽのType‑Cできらりと光る。札には太い字で、

02｜09:22　“外の声”で“内の鍵束”が開く

WAFのアクセスログに、素直すぎるHostヘッダと長いパラメータが残っていた。異常はアプリではなく**“外の声”が描いた経路にある。SSRF——サーバ側が別の資源へ勝手に行ってしまう**。169.254.169.254に一瞬の影。IMDSだ。IMDSv1ならトークンなしでロールの一時資格情報が取れてしまう。

03｜10:08　四つの数字（一次）

蓮斗（れんと）が白板に数字を書く。

• MTTD（検知）：19分（異常APIペアの初検知から）

• 一次封じ込め：44分（隔離／IMDS遮断／STS失効／S3締め）

• 影響推定：応募データを含むバケット群（範囲推計進行）

• 外向きコピー：断片的なGetObject痕（継続照合）

律斗は短く言う。「勝ってはいない。**“間に合っている”**だけだ。」

04｜11:35　“雲の倉庫”の棚卸し

S3のサーバアクセスログとCloudTrailを突き合わせる。見えてくるのは、古い応募フォームのスナップショット、KYC添付、自己申告年収、破線で隠した口座末尾。権限は読み取りだけの**“はず”だった。しかし、コピーは読み取りで足りる。持ち出しに書き込み**は要らない。

奏汰は鍵束の分割を図に引く。

05｜正午　一次報

ふみかが読み上げ、りなが段落を整える。

怒号はない。時刻が不安の終わりを作る。

06｜13:25　“列挙のリズム”

CloudTrailの呼吸は、几帳面だった。GetCallerIdentity→ListBuckets→ListObjectsV2→GetObject。IAMロール名は業務用。しかし呼び出し元はWAFの島。悠真はVPCエンドポイントのポリシーを最短に切り、S3は**“この役割から／このバケットへ／このプレフィックスだけ”**にしぼる。やまにゃんの札が光る。

07｜15:02　届く噂、遅れてくる名前

外部では、匿名掲示板に自慢話が上がっているという噂。りなは所内ルールを読み上げる。「帰属は私たちが言わない。公的発表に歩調を合わせる。私たちは**“事実と手順”を時刻**で言う。」

蓮斗の数字が更新される。

• 影響推定：応募年代 2000年代半ば〜近年

• 個別要素：氏名／住所／生年月日／連絡先／自己申告年収（範囲推計）

• 高秘匿要素：口座番号・社会保障番号は限定的（照合中）

• 通知準備：専用サイト／FAQ／コールセンター増強進行

08｜17:00　二次報

律斗はペン先で小さな丸を描く。「一次封じ込め完了。残すのは手順と地図だ。」

09｜翌朝 07:10　“トークンの世代交代”

IMDSはv2へ。hop limitは1、X-aws-ec2-metadata-tokenがない呼び出しは捨てる。WAFの正規化は見直し、奇妙なHost／X-Forwarded-*は白黒を即決する。S3の**“ブロックパブリックアクセス”は全アカウント既定とし、KMS鍵のローテーションをルール**に落とす。

夏芽はダッシュボードを閉じて髪留めを直した。

10｜発表の昼

青磁カードは数字を言い切る。対象は北米で1億人規模、うち社会保障番号や口座番号等の高秘匿要素は限定的件数——専用窓口と無償モニタリング、FAQとスケジュール。CISOの短い録音が流れ、CSは紙で言い回しを統一する。

11｜数週間後　紙と法廷

捜査機関は容疑者を逮捕し、起訴状と証拠が紙の束になる。技術ブログはSSRF→IMDS→一時資格→S3の鎖を冷静に図解し、クラウドベンダはIMDSv2を既定に、顧客向け緩和策を列にして並べる。りなは講堂で三つの時計を出す。

1. 現場の時間（申込・審査・CS）

2. 規制の時間（72時間と継続報告）

3. 経営の時間（信頼・是正・再発防止）

蓮斗の数字。

• MTTD：19分 → 8分（**“異常APIペア”**の常時監視）

• 一次封じ込め：44分 → 26分

• 常時特権：ゼロ（JIT特権へ全面移行）

• 例外期限遵守率：98%

夏芽はやまにゃんの札を撫でた。

雲の裂け目は塞がれ、鍵束は細かく分けられ、“正しい更新”にも“人の10分”が挟まれた。外の声はまだ来るだろう。でも、こちらが開けなければ、誰も入ってこられない。

—— 完

参考リンク（URLべた張り／事実ベースの注記・一次情報／主要報道・公的資料）

※物語はフィクションですが、骨格（2019年の大規模漏えい、WAF設定不備を起点とするSSRF→IMDSv1→一時資格情報→S3列挙／取得、対象規模とデータ内訳の公表、容疑者逮捕・起訴・有罪、IMDSv2等の緩和）が以下に基づいています。

https://investor.capitalone.com/news-releases/news-release-details/capital-one-announces-data-security-incidenthttps://www.justice.gov/usao-wdwa/pr/seattle-tech-worker-arrested-data-theft-involving-capital-onehttps://www.justice.gov/usao-wdwa/press-release/file/1188626/downloadhttps://www.justice.gov/usao-wdwa/pr/seattle-programmer-convicted-capital-one-data-breach-hacking-30-other-companieshttps://www.nytimes.com/2019/07/29/business/capital-one-data-breach.htmlhttps://krebsonsecurity.com/2019/07/capital-one-data-breach-compromises-106m/https://aws.amazon.com/blogs/security/announcing-updates-to-ec2-instance-metadata-service/https://cwe.mitre.org/data/definitions/918.html