攻撃を検知する仕組みを構築しようとしている．コントラクターの人が，仕様について色々と調べ，どうにか検出しようと考えているのだが，フォールス・ポジティブ（誤検知）が多いので苦労しているというので相談にのっている．

　認証情報を偽装して初期接続してきた攻撃者が，さらに不正なチケットを生成して認証状態を，最大10年間，つまり実質無期限にできるというものなのだけれど，接続／切断の際にでてくるログを検証して，攻撃を検知する方式を編みだそうとしている．

　ブルートフォースアタック的なことだったら，大量の接続失敗が記録され，突破されたら接続成功が記録されるということになるのだが，正規の利用者が接続している際にも，有効期限切れを起こすと失敗が記録されることがしようとして存在している．また，複合でログを付き合わせれば検出できるのだけれど，片方のログは必ず記録されるとは限らないこともある．例えばドアを開けたら閉めるルールがあるけれど，閉めなくてもOKみたいな場合が存在する．

　何回か開催されている会議で，数回目の途中から参加したので，その攻撃の発端となる「認証情報の偽装」がどういう仕組みで起こるのかを調べて見たら，単純に「プログラム不具合で脆弱性があった」という過去が存在した．５年前の2014年に報告され，既にパッチがでている．

　ただし，そのパッチが適用される前のOSに，認証情報を偽装して接続した悪意のある攻撃者は，最大10年間の有効期限を持ったまま，つまり再認証が不要な10年のうちの残すところ５年になっているのだけれど，その対象の組織ができたのが2014年なので，その時点から今日の今まで，攻撃者が認証を突破した状態を維持しているとは，到底思えない．

　その最初の突破が既に行われてないと，それに続く攻撃ができないわけだから，想定している攻撃は発生しない．つまり，ログを付き合わせたところで発生しないのだから検出できないので検知できない．
　また，類似の攻撃があったとして，その時は違う結果になっているから，これまでの手法による検出は，やっぱり検知できない．

　過去の事例から未来を予測して発見するのはAIとか機械学習の世界だけれど，既存の認知済みのパターンを実現しようとしているだけなので，そういう世界観だと実装は無理なんじゃなかろうか．

　そして理論的に整理できてないので，つまり検出できたとしても正しいのか正しくないのかの検証に時間がかかる事が想定される．

　映画の「容疑者Xの献身」で堤慎一演じる天才数学者の石神が，一晩かけて「リーマン予想の否定の証明」をやったというシーンがあるけれど，検出する仕組みがを運用業務に落とし込もうとした時に，それを説明でき真偽を判断できる所までの運用設計まで構築できるのか，不安が残る．