Case 04:更新の罠(The Update Trap)
第1部:石橋が砕ける音
1
金曜日の深夜3時。
それは、システム運用者にとって最も神経を使う「メンテナンス・ウィンドウ(保守作業時間帯)」だ。
「……第3次検証、クリア。ステージング環境での動作、正常」
亀之助の声は乾いていた。
第3話での「敗北」から数日。アイギス・ジャパンは、APT-Dragon(国家ハッカー)の再来に備え、防御システムの緊急アップデートを進めていた。
敵は「DNS(インターネットの住所案内)」の脆弱性を突く準備をしている。その前に、セキュリティパッチを当てなければならない。
「亀之助、顔色が悪いぞ」
後ろで腕を組む司が心配そうに言う。
「大丈夫です。……このパッチさえ当たれば、奴らの次の手は塞げます」
亀之助は、何重ものチェックリストを確認した。
石橋は叩いた。鉄骨も組んだ。コンクリートも流し込んだ。完璧だ。
彼の手は、Enterキーの上に置かれている。
「……更新(Update)、適用」
キーを押し込む。
プログレスバーが伸び、画面に「Success(成功)」の文字が出る。
いつもの光景だ。これで世界は少しだけ安全になるはずだった。
だが。
その直後だった。
『……警告! 権威DNS(Authoritative DNS)、応答率急落!』
ケアラの悲鳴がスピーカーを突き破った。
『カメ! 何をしたの!? 日本、アメリカ、欧州……全世界のエッジDNSがエラー(SERVFAIL)を吐き始めたわ! アイギスが管理しているドメインが、ネットから消えていく!』
「な……!?」
亀之助は血の気が引くのを感じた。
モニターのグラフを見る。DDoS攻撃の時の「急増」ではない。
**「垂直落下」**だ。
アイギスを利用している銀行、航空会社、メディア……数万社のドメイン解決数が、断崖絶壁を転げ落ちるようにゼロに近づいていく。
「J-STRM、繋がりません! 帝都銀行も、航空会社の予約システムも、名前解決できません!」
守凪の絶叫が響く。電話が鳴り止まない。
攻撃ではない。
俺が、止めたのか?
2
「……落ち着け」
死のような静寂の中、低く重い声が響いた。
**猪熊社長**だ。いつの間にか司令室に立っている。
その目は、かつてないほど冷たく、そして静かだった。
「状況報告を」
「……せ、設定更新が……特定コードパスのバグを踏みました……!」
亀之助の手が震えてキーボードを打てない。
「更新された設定ファイルを読み込んだ瞬間、DNSの応答プロセスが異常終了と再起動を繰り返しています……! 事前の検証では通らないルートのバグです……!」
「原因の特定より、復旧が先だ。切り戻し(Rollback)は?」
「……できません! 管理プレーン(制御系)もエラーログの洪水で詰まっています! OOB(非常用回線)もタイムアウトして繋がりません!」
制御不能。
アイギスの「盾」であるサーバー群が、自分自身のバグで窒息し、熱暴走を始めている。
クラウド経由の操作が効かない以上、打つ手は一つしかない。
猪熊が、内線電話を掴んだ。
「……**『親方』**を呼べ」
第2部:物理層の番人
3
東京、江東区。アイギス・ジャパン第1データセンター。
そこは、数万台のサーバーが唸りを上げる、熱と騒音の要塞だ。
「おう、聞こえてるぞ! えらいことしてくれたな、インテリどもが!」
怒号とともに、その男は現れた。
磯部。通称**「親方(Oyakata)」**。
作業着にヘルメット、腰には無骨な工具袋。
彼はモニターの中の数字など見ない。彼が見ているのは、物理的な「熱」と「音」だ。
「排熱が追いついてねえ! ファンが全開で回りっぱなしだ! プロセスが暴走してCPUを焼いてやがる!」
磯部は猛烈な熱風が吹き荒れるサーバーラックの間を走った。
「亀之助! リモートが効かねえなら、物理的に落とすしかねえ! 電源(PDU)を落とすぞ!」
『ま、待ってください磯部さん!』
インカムから亀之助の悲痛な声が届く。
『いきなり落としたら、キャッシュデータが飛びます! データベースの整合性が……!』
「ガタガタ抜かすな! 整合性以前に、機械が燃えたらおしまいなんだよ!」
磯部はラックの背面にあるPDU(電源分配ユニット)の保護カバーを跳ね上げた。
「いいか、俺は『線一本またぐな』と教えられてきた。だがな、守るべきもんを守るためなら、ブレーカーを落とすのが現場の流儀だ!」
バチン!!
重い遮断音と共に、ラック一列の轟音が止まった。
静寂。そして、一呼吸置いてからの、再起動の電子音。
「……よし、1号機、BIOS画面出たぞ! ……亀之助、制御回線が空いたはずだ! 今だ! 新しい設定じゃなく、**『古いやつ』**を流し込め!」
磯部の荒療治によって、死にかけていたサーバーが一瞬だけ息を吹き返した。
そのわずかな隙間が、亀之助に残された唯一の勝機だった。
4
「……通れ……ッ!」
亀之助は祈りを込めて、修正パッチではなく、**「更新前の古い設定(Last Known Good)」**を送信した。
パッチを当てるのは諦める。脆弱性は残るが、まずは「動くこと」が最優先だ。
石橋は壊れた。なら、泳いででも渡るしかない。
『……DNS応答、回復! SERVFAIL消滅!』
ケアラの声が弾む。
『アメリカ、復旧。欧州、復旧。……日本、オールグリーン!』
モニターのグラフが、V字を描いて急上昇し、元の水準に戻った。
世界中のウェブサイトが、アプリが、銀行のATMが、再び息を吹き返す。
止まっていた時間は、わずか45分。
だが、亀之助には永遠のように感じられた。
第3部:空からの援軍
5
朝。
障害は収束したが、SOCの空気はお通夜のように重かった。
サイバー攻撃には勝ったことがある。だが、自分たちのミスによる障害は、完全な敗北だ。
「……私の責任です」
亀之助は猪熊の前で深く頭を下げた。
「検証不足でした。どんな処分も受けます」
猪熊は無言で窓の外を見ていた。
「……処分については、後で湊くんと相談します。ですが亀之助くん、君は一つ勘違いをしている」
猪熊が振り返る。
「君の検証は完璧だった。ログを見たが、あれは特定の条件が重なった時だけ発動するコードパスのバグだ。神ならぬ人間に、すべてを見通すことはできない」
「しかし、止めたのは事実です」
「ええ。だからこそ、我々は『チーム』なのです。君が壊し、磯部が救い、皆で直した。……それだけのことです」
その時。
オフィスの自動ドアが開き、大きな荷物を抱えた人影が入ってきた。
季節外れのアロハシャツ。そして、小脇にはボロボロのサーフボードケース。
「……まったく。日本のWi-Fi、飛行機の中で全然繋がらなかったじゃない」
その女性は、サングラスを外して不満げに言った。
ハワイの太陽の匂いが、空調の効いたオフィスに広がった。
「……ケ、ケアラ?」
亀之助が呆然と呟く。
ケアラ・マカナ。
画面の中にしかいなかったはずのバディが、今、目の前に立っている。
彼女は亀之助の前に立つと、彼の胸をドンと拳で突いた。
「湿っぽい顔しないの、カメ。……画面越しじゃ、あなたが泣きそうな顔してる時、背中を叩いてあげられないでしょ?」
ケアラはニカっと笑った。
「だから、来ちゃった。……これからは隣で、私があなたの『石橋』をチェックしてあげる」
亀之助は、力が抜けたようにへたり込んだ。
「……勘弁してくれ。俺の席の隣、書類の山で埋まってるんだぞ」
「片付けなさいよ! あと、おにぎり! ツナマヨってどこに売ってるの!?」
騒がしい朝が始まった。
物理層の親方、特攻野郎の営業、法の盾、地下の解剖医。
そして、ハワイから来た予言者。
アイギス・ジャパンに、最強の(そして最も騒がしい)布陣が揃った。
……だが。
その喧騒の裏で、地下ラボの十凍だけが、険しい顔でログを見つめていた。
「……おい、亀之助」
十凍が独り言のように呟く。
「障害中のログ……真っ赤なエラーの洪水の中に、一本だけ奇妙な通信が混じってるぞ」
あの45分の混乱。世界中がパニックになり、監視の目が「復旧」に釘付けになっていたその隙に。
何者かが、アイギスの開発環境(DevOps)の裏口を、こじ開けていたとしたら?
APT-Dragonは、攻撃でアイギスを落としたのではない。
アイギスが自滅したその「煙幕」を利用して、静かに、深く、「毒」を埋め込んだのだ。
(第4話 完)
亀之助の技術日誌(Technology Log)
【今回の使用ウェポン:Edge DNS (エッジ・ディーエヌエス)】
* これはなに?
* 「インターネットの電話帳」です。
* 「google.com」みたいな名前を、「142.250.xxx.xxx」みたいな住所(IPアドレス)に変換するシステム。
* アイギスのEdge DNSは「権威DNS」といって、そのドメインの最終的な正解を持っているサーバー。これが止まると、世界中の誰もそのサイトに辿り着けなくなる。
* 亀之助のボヤキ
* 「『SPOF(単一障害点)』……無くしたはずなんだけどな。
* どんなにサーバーを分散させても、それを動かす『設定ファイル(Config)』が一つなら、そこが弱点になる。
* 今回の教訓は、『更新ボタンを押すときは、心臓マッサージの準備をしてから押せ』ってことだ」
【 導入あり vs なし 比較】
アイギス(Edge DNS)なしの場合
* 障害発生時:
* 自社で運用しているDNSサーバーがダウンすると、そのサイトには誰もアクセスできなくなる。
* DDoS攻撃などで簡単に落ちてしまうリスクがある。
アイギス導入あり(今回のケース)
* 障害発生時:
* 皮肉なことに、アイギス自体がダウンの原因となった。
* DDoSには無敵の強さを誇るが、今回のような「内部の設定バグ」が全サーバーに配信されると、世界規模で同時に停止(Global Outage)するリスクがある。
* 教訓: 「最強の盾」が割れた時、世界は無防備になる。だからこそ、変更管理(Change Management)は命よりも重い。
ケアラの占い部屋(Security Fortune)
【今回のキーワード:コンフィグレーション・エラー(Configuration Error)】
* ケアラの解説
* 「サイバー攻撃よりも怖いもの、なーんだ?
* 正解は『人間の変更作業』よ。
* 実は大規模なシステム障害の多くは、ハッカーの攻撃じゃなくて、運用担当者の設定変更や更新作業が引き金になっているの。
* プログラムは書かれた通りにしか動かない。人間が『バグのある命令』を書けば、プログラムは全力で『間違ったこと』を実行して、世界を止めるわ。
* 今回のカメの顔、見た? 青を通り越して白くなってたわね。……ま、私が来たからには、もう二度とあんな顔はさせないけど」
* 用語集(Termpedia)
* 権威DNS(Authoritative DNS): 「このドメインのIPはこれ!」と断言するサーバー。ここが死ぬとサイトは迷子になる。
* SERVFAIL: DNSサーバーが「ごめん、エラーで答えられない」と返す絶望のメッセージ。
* OOB(Out of Band): 普段の通信回線が死んだ時に使う、裏口の管理用回線。でも今回はエラーログが多すぎて、ここも詰まってしまった。
