鳴らないアラート — Strutsの裂け目(長編フィクション)
- 山崎行政書士事務所
- 2025年9月14日
- 読了時間: 6分
— 2017年の Equifax 侵害(Apache Struts/CVE‑2017‑5638/検知遅延)を骨格にした物語
00:41|深夜のフォーム
「送信ボタンを押すたび、アラートは鳴らなかった。」
財務与信サービス会社 星雲クレジット研究所。夜間の申請受付フォームに奇妙なリズムが混ざり始めた。Content‑Type のヘッダが重く、長い。監視卓で 新名(にいな) は眉をひそめる。WAF は反応ゼロ。IDS は沈黙。ただ /upload に届く前に、サーバの息が一瞬だけ乱れる。
「回線の証明書、いつから更新してない?」と新名。「……去年から。」夜勤の 千沙 が小さく答えた。可視化の目が、暗闇に戻っている。
山崎行政書士事務所のスピードダイヤルを押す。長い夜の始まりだった。
01:19|“止める/伝える/回す”
静岡・山崎行政書士事務所。ホワイトボードに 律斗(りつと) が三行を書く。
止める/伝える/回す
止める:外向きの申請ラインを一段引き、該当フォームを孤島化。証跡は一方向で吸い上げる。
伝える:三文で社内と主要取引先へ。正午/17時の時刻を約束し、**“事実”と“可能性”**を段落で分ける。
回す:紙の与信ワークフローを即時再開。遅いけど確実に審査を回す。
りなが付け加える。「法の時計(72時間)も同時に回します。**“支払い先変更メールは無効”**を最初の三文に必ず。」
奏汰(そうた) は構成図に赤を入れる。「Apache Struts の multipart。古い版が残ってるかもしれない。RCEの穴をヘッダで穿たれるやつ。」悠真(ゆうま) はコマンドを打つ手を止めない。「/etc/ の触られ方が人間っぽい。インタラクティブの痕だ。“入れた”じゃなく、“入ってる”。」
ふみか が一次報の原稿を置く。
現状:申請受付フォームにて不審な挙動を確認。該当サーバを隔離し、紙運用へ切替。対応:与信・照会は継続。正午に一次報、17時に更新。設定・証明書の総入替を実施。お願い:支払い先変更などメールのみの依頼は無効。必ず電話で二重確認を。
「時刻は安心の枠。」りなが赤を入れる。
02:06|“鳴らない”理由
悠真がパケットとプロセスの狭間を拾い上げる。「SSL検査、証明書期限切れで目が曇ってた。中身が見えてなかった。」新名は苦笑する。「**“見ているつもり”**だったのに。」
ログの奥で、着火点が浮かぶ。Content‑Type に細工された文字列が、OGNL という手話でサーバの意志を書き換える。ファイルを送るフリで、命令を送らせる。――CVE‑2017‑5638。古い裂け目が今夜も口を開けた。
蓮斗(れんと) が四つの数字を出す。
MTTD(検知):47日(逆算/可視化の盲目期間を含む)
一次封じ込め:1時間31分(孤島化)
紙運用稼働率:70% → 正午90%
資格情報回転率:管理者60%/API 40%(進行中)
律斗は短く言う。「勝ってはいない。**“間に合う形”**を作る。」
03:18|川口で止血
外向きの帯域が細く絞られる。/upload は案内板だけを残し、裏口は消えた。DB の読み出しは一方向トンネル、書込みは遮断。陽翔(はると) が現場に電話する。「フォーム入力は一時停止、FAXと電話で一次受付。復唱と二名承認を徹底。」
受付カウンターには白い猫のマスコット。しっぽはUSB Type‑C。札にはマーカーで、“遅いけど確実。”
07:05|朝の三文
ふみか の一次報が経営陣と主要顧客に出る。「正午に一次報」「17時に更新」――時刻が怒りの温度を下げる。りな は PPC(個人情報保護委員会)向けに二段落を整える。
確認された事実:申請フォーム経由の不審な操作、該当プロセスの隔離、資格情報の回転を実施。
未確定(継続調査):第三者提供の有無、影響範囲、期間。
「混ぜない。事実と可能性を同じ文に入れない。」りな。
10:12|“どこまで見られたか”
悠真 がデータの河口を洗う。照会API に夜間の連続アクセス。件数は小さな山が連日。人名・住所・生年月日――与信の骨組みに触れた指がある。「**“盗られた”と書けない。“見られた可能性”**は書く。」悠真。
奏汰 は照会上限を一日単位から時限ウィンドウへ。しきい値は今日だけ厳しめ。陽翔 はコールセンターに脚本を配る。「“ご本人確認のために復唱が増えます”の一行を必ず添える。」
12:00|正午の報
事実:申請フォームの不審操作を確認。該当サーバを孤島化し、資格情報の回転、紙運用を実施。影響(現時点):個人情報の第三者提供の確証なし(継続調査)。受付遅延は平均11分。約束:17時に更新。“メールだけ”の依頼は無効、電話で二重確認。
窓口は落ち着き、FAXの紙音がリズムを刻む。新名 は目の下のクマを指で押さえ、「鳴らないアラートより、時刻が効く日がある」と呟いた。
13:50|“後から気づく”罪
経営会議。「どうしてパッチが当たっていなかった?」という問いに、空気が固くなる。奏汰 が正面から受ける。「資産台帳に古いゾーンが残っていました。自動適用の対象外。“いつか直す”が今日まで延びました。」りな が線を引く。「責任は個人ではなく仕組みに置きます。例外には期限を、期限切れの例外は自動で戻す。」
ふみか はFAQに一行を足す。
「当社は不当な要求には応じません。証跡の確保と関係機関への連携を優先します。」
身代金の話は出てこない。これは“盗み”と“沈黙”の事件だ。
16:12|“鍵束”を細かく
SAML と OAuth の連携を一度切断。再発行は業務単位で、二名承認と**“10分会議”を鍵にする。管理者権限は職務で分割し、全部の鍵束を誰にも渡さない**。蓮斗 の数字が緑に寄る。
紙運用稼働率:96%
回転済み資格情報:管理者100%/API 87%
外向き不審通信:0(直近6時間)
17:00|二次報
封じ込め:該当サーバ隔離継続、資格情報の総回転、連携の再発行を実施。影響:受付遅延9分。第三者提供の確証なし(継続調査)。次:夜間にクリーン再構築と最小構成の段階復帰。72時間の報告線を維持。
律斗 はホワイトボードに小さく書く。
「速さは、戻れるときだけ味方。」
22:30|“見える化”を戻す夜
証明書は新しく、監視は生き返る。Struts は安全版に上げ、自動適用の範囲に置き直す。可視化には二つの新パネルが増えた――“署名検証の成否”と“例外の期限切れ件数”。
新名 はモニタの青に目を細める。「鳴るべきアラートが鳴るようになった。」
2日目 08:05|声を整える
コールセンターの読み上げ練習。みお が攻撃者役で「端末が……」と声を変える。夏芽 は脚本の最初の一行を短く返す。「今の番号に折り返します。上長同席の10分会議で再登録します。」声は鍵になる。手続きで鍵穴を狭める。
一週間後|ポストモーテム「鳴らないアラートの治しかた」
講堂に三つの時計が並ぶ。
現場の時間(審査・照会・問い合わせ)
規制の時間(72時間)
経営の時間(信用・費用・再発防止)
蓮斗 の数字。
MTTD:47日 → 2日(盲点解消後)
一次封じ込め:1h31m → 49m
資格情報回転所要:初動10h → 5h
例外期限遵守率:98%
りな は三行で締めくくる。
言い切る(事実と可能性を混ぜない)期限を付ける(例外は時間で管理)二重に確かめる(自動の間に“人の10分”)
受付のやまにゃんが小さく光る。札には、変わらない一行。
「遅いけど確実。」
―― 完
参考リンク(事実ベース・一次情報/主要報道)
※物語はフィクションですが、骨格となる事実(CVE‑2017‑5638/Strutsの脆弱性、検知遅延・証明書失効の盲点、影響規模・公的整理、起訴・和解等)は以下の資料に基づいています。
コメント