見出し画像

【AI小説断章】玲奈の戦い

うみねこ

考証的にどこまで妥当かは分かりません。
もちろんすべて作り話で実在する名称とは一切関係しません。


第一章 兆候

Splunkのアラートが画面を埋め尽くしていた。

【Critical Alert: Unusual Encrypted Outbound Traffic Detected】
送信元:農林水産省 ITシステム(VDIセグメント)
送信先:AWS CloudFront Edge Location
プロトコル:TLS over HTTP/2
異常度:★★★★★(通常閾値超過)

玲奈は内閣府情報セキュリティ対策室のデスクで、ディスプレイを食い入るように見つめていた。
政府基幹ネットワーク(NICS)は、インターネットから物理的に分離されているはずだった。
なのに、なぜか農水省のシステムがAWSのCloudFrontと定期的に暗号化通信を行っている。

「……どこに出口を作った?」

玲奈は端末を操作し、TLS SNI(Server Name Indication)を解析する。

tlsdump -r capture.pcap | grep SNI

ヒットしたのはAWSのCloudFrontのエッジロケーション。
リクエスト頻度が異常に高い。
何より、この通信が深夜2時から現在まで一度も止まっていないことが不気味だった。

「職員がリモートワークする時間帯じゃない。
それなのに、VDI環境が定期的に外部と通信してるってことは…C2(Command & Control)の疑いが強い

玲奈はSplunkのダッシュボードをスクロールし、TLS通信の詳細を調べる。
通常のWorkSpacesのヘッダではなく、標準のAWS APIと異なる特殊な識別子が混ざっていた。
これは…マルウェアか?
VDIの中に仕込まれた不正プログラムが、攻撃者のコマンドを受け取っている可能性がある。

「これはマズい」

内閣府の監視チームにも共有しようとしたそのとき、玲奈の端末に"至急、農水省担当と会議設定"のメッセージが飛んできた。
どうやら、監視ログを見た上層部が動いたらしい。

——ただし、それはセキュリティ強化のためではなく、「波風を立てない形で処理するため」だろう。

第二章 田辺、現れる

内閣府の会議室。
午前9時過ぎ。

モニターには、玲奈が抽出した異常通信の証拠ログが映し出されていた。
そこへやってきたのは、農水省のシステム担当ではなく、ベンダー企業から出向している田辺だった。

「お疲れっすー。えーと…うちのシステムが何か?」

玲奈はログを指差す。

「あなたの管理するVDIサーバー群から、AWSのCloudFrontに向けて不可解なTLS通信が流れ続けています
これはC2通信の可能性が高い。職員が意図的にやっているのではなく、外部からの侵入を受けている疑いがあります。

田辺は画面をのぞき込み、しばらく黙った。
彼の目線はログを真剣に読み取るというより、何か言い訳を考えているような迷いがあった。

「えー、でもですねぇ……。AWS WorkSpacesは公式に許可されてるんで、問題ないはずなんすよ」

玲奈は言葉を遮った。

「許可されていることと、攻撃を受けていることは別です。
現にこのログでは、WorkSpacesの通常のAPIパターンと異なる暗号化ヘッダが混ざっている
つまり、何者かがAWS経由で内部に侵入し、コマンドを送っている可能性がある」

田辺は額に手をやり、「うーん」と言いながら少し考えた後、口を開いた。

「でも、そこって僕の管轄じゃないんですよねぇ」

玲奈は奥歯を噛む。

「あなたは農水省のIT運用保守担当でしょう。少なくとも、VDIのセキュリティ設定くらいは把握しているはず」

「いやぁ、運用はしてますけどぉ、AWSの細かい設定はウチの会社じゃなくて、外部のベンダーが別にいまして
で、その設定がどうなってるかは……僕も知らないですねぇ」

玲奈は深く息を吐いた。

「つまり、AWSのセキュリティポリシーを誰も把握していない状態で、職員が使ってるってことですね?

田辺は気まずそうに視線を逸らした。

第三章 緊急遮断、そして違和感

「とにかく、今すぐAWS WorkSpacesを遮断してください。
今のままでは、攻撃者が内部に残ったまま、好き放題にシステムを操作できる状態です」

田辺は「えぇ〜…マジっすか」と言いながら、渋々AWSの管理コンソールを開く。
玲奈がモニターを見つめながら、Splunkのログをリアルタイムで監視する。

田辺がコマンドを実行する。

aws workspaces terminate-workspaces --region ap-northeast-1 --workspace-ids ...

モニターに表示されるログ。

[09:17:02] ALERT count=10 
[09:17:05] ALERT count=4
[09:17:10] ALERT count=0

不審通信はすべて消えた。
一見すると、攻撃者は完全に追い出されたように見える。

だが——

玲奈の直感が違和感を訴えていた。

ここまでスムーズに遮断できた?
本当にプロのAPT(Advanced Persistent Threat)なら、こんなに簡単に止まるはずがない。

玲奈はSplunkのログを遡る。
だが、切断直前の数秒間に、不自然なTLSハンドシェイクの記録を見つける。

[09:16:58] [NICS-IDS] SrcIP=192.168.200.103 DstIP=13.xx.xx.xx:443 TLS handshake 
SNI=? 
Connection closed at [09:16:59]

SNI(Server Name Indication)が空欄?

通常のTLS通信では、SNIが必ず付与される。
それがないということは、攻撃者が意図的に隠蔽した可能性がある。

「これ…田辺さん、この192.168.200.103ってどこ?」

田辺の表情が固まる。

「……農水省の外郭団体ですね」

玲奈の背筋に嫌な汗が流れる。

「クソ……逃げられたか」

戦いは、まだ終わっていなかった。
いや、攻撃者との戦いだけではない。

「"この件を大ごとにしない"方向で調整してください」

内閣府の上層部からの通達が、玲奈の画面に通知として表示される。

「……お前らかよ」

玲奈はSplunkのターミナルに手を置いた。
APTだけでなく、『何も変えたくない』官僚機構そのものが、最大の敵だった。

いいなと思ったら応援しよう!