ホリデーの棚 — POSの夜（長編フィクション）

— 2013年の大手小売チェーンにおける決済情報大量流出（HVACベンダ経由の侵入／POS RAMスクレイパ／警告見逃し）を骨格にした物語

0｜金曜 18:12　ハンドスキャナが詰まる音

白楠（しらくす）リテールの旗艦店。レジの列はホリデー前夜の熱で揺れ、ハンドスキャナのピッという音が途切れ途切れになる。夏芽はバックヤードの監視端末で外向きの帯域が細く脈打つのを見た。プロキシのログに、よく分からない宛先へいびつな時間帯での通信。同じ頃、社内のEDRがPOS端末の見慣れないプロセスを警告したが、ラベルは「malware.binary」、重大度：中。「山崎さん、呼ぶ。」夏芽は山崎行政書士事務所のショートカットを叩いた。

1｜19:03　“止める／伝える／回す”

静岡・山崎行政書士事務所。ホワイトボードに**律斗（りつと）**が三行だけ書く。

止める／伝える／回す

• 止める：POS網と社内業務網を物理で切る。外向きのFTP/HTTPは白リスト以外を即時遮断。感染疑い端末は電源は切らずLANから外す（証跡を残す）。

• 伝える：三文の一次報を正午に。17時に更新。**“事実”と“可能性”**を段落で分け、必ず時刻を書く。

• 回す：出荷・補充は紙運用へ。レジは孤島端末で現金＋IC優先、磁気は予備窓口に誘導。遅いけど確実に回す。

りなが付け足す。「法の時計（72時間）を回します。“支払い先変更のメールは無効”を社外一斉に。カード会社と警察へは先手連絡。」

奏汰（そうた）は構成図に赤を走らせた。「ベンダ接続の門が古い。HVAC保守ポータルの外部IDで境界を跨げる線がある。そこから入られた可能性。」悠真（ゆうま）は首を傾げる。「POSにRAMをなでる道具。一定周期で収穫→社内の中継サーバにため込む匂い。」

ふみかが三文を置く。

「時刻は安心の枠。」りなが赤で丸をつけた。

2｜20:41　“コート掛け”の裏にドア

ベンダ接続の監査ログが、夜に見知らぬ端末からの合法ログインを示していた。「HVAC保守会社の委託先から。IDは本物。」悠真が言う。「メールの餌で拾われた線かもしれない。」入ってからが早かった。アカウントの権限を転がし、POS網に寄り、POS端末に同じ影を植える。POSは暗号化していない刹那にカードデータをRAMに置く。それを掬う。掬った束を社内の中継サーバに集める。深夜に外へ押し出す。

蓮斗（れんと）が四つの数字を掲げる。

• MTTD（検知）：51分（逆算）

• 一次封じ込め：1時間19分（分割・遮断完了）

• POS感染疑い：レジ182台／バックヤード1台

• 外向き送出：遮断以降ゼロ

律斗は短く言った。「勝ってはいない。**“間に合っている”**だけだ。」

3｜22:30　赤と白のパネルの間で

EDRの画面には黄色い警告が並び、SOCでは夜食の汁物が冷めていった。夏芽は先月から出ていた同種の警告を思い出す。「“malware.binary”。誰も気に留めなかったやつ。」りなは静かに言う。「“見ていたつもり”がいちばん危ない。**“自動で消す”**という選択肢があっても、押さない勇気がいる夜がある。」

やまにゃん（白い猫のマスコット）が受付に置かれる。しっぽはUSB Type‑C。札にはマーカーで、「遅いけど確実。」

4｜翌朝 06:15　“収穫小屋”の灯り

社内の中継サーバに奇妙なフォルダが現れた。バックアップ名に偽装され、サイズだけが不自然に大きい。時刻は深夜帯。1時間おきに新しい束が置かれている。奏汰は顎に手を当てる。「刈り取り→集約→外へ。三拍子の筋。外向きは遮断した。残りは**“刈り取り”と“集約”を止める**こと。」

POS網のイメージを取得し、動く影を剥がす。RAMスクレイパは起動時に身を隠す工夫をしていたが、孤島化で牙を抜かれている。

5｜12:00　正午の報

ふみかが読み上げ、りなが段落を整える。

店舗の空気が半歩落ち着く。長蛇は短い蛇になった。

6｜13:35　「数字は怒りを落とす」

カード会社と監督当局への先手連絡が終わる。りなは**“事実”の段落に具体を足した。「POS感染疑い 台数、中継サーバ名、遮断時刻、例外の期限。」「数字は怒りを納得に変える最短距離**。」ふみかは顧客FAQに一行を足す。

7｜16:10　“壁”の作り替え

ネットワークの壁は図面より薄かった。POS網と業務網の境界に、ベンダ保守の細い管が長年の例外で残っている。「例外に期限。」りなが強く言う。「期限が切れた例外は弱点です。」

奏汰は境界を作り直す。“許可リスト方式”で外向きを閉じ、内部の中継は専用線に絞る。陽翔（はると）は店舗を回り、現場の紙運用の手足を整える。復唱、二名承認、ラベルの孤島印刷。

8｜17:00　二次報

律斗はペン先で小さな丸を描いた。「一次封じ込め完了。残すのは手順と地図だ。」

9｜21:30　“赤い壁紙の代わりにパッチの青”

夜の配送センターに光る台車が走る。POSイメージの差替は波で行い、各波の間に監視の目を入れる。EDRの**“自動隔離”は段階でON**。**“大きな赤”ではなく“小さな青”**を並べていく。

夏芽が画面の緑を見つめる。「鳴るべきアラートが、鳴る。」

10｜2日目 08:05　“声の鍵”を作る

コールセンターの読み上げ練習。みおが攻撃者役で「端末が故障して—」と声を変える。現場は脚本どおりに返す。「今お伝えの番号に折り返します。上長同席の10分会議で再登録します。」声は鍵になる。手続きで鍵穴を狭める。

11｜3日目 11:50　“72時間”の線

PPCへの報告は二段落で短く、しかし厚い。確認された事実、未確定（継続調査）、封じ込め、再発防止。カード会社とは共同の周知文を作り、監督当局には時刻の記録を添えた。

蓮斗の数字。

• MTTD：51分 → 14分（監視の窓再設計後）

• 一次封じ込め：1h19m → 47m

• POS差替率：全店100%

• 例外期限遵守率：98%

りなは三行で締める。

12｜エピローグ　ホリデーの棚

白楠リテールの棚に、赤と緑の包みが戻る。磁気の客には予備窓口で一言を添える。「安全のため、お手数ですが—」やまにゃんの札は今日も受付で小さく光っている。

POSは黙って仕事をし、監視は必要なときだけ声を上げる。見えない冬を、人と手続きで渡りきった。

—— 完

参考リンク（URLべた張り／事実ベース・一次情報／主要報道・技術解説）

※物語はフィクションですが、骨格（HVACベンダ経由の侵入、POS RAMスクレイパ“Kaptoxa/BlackPOS系”、社内中継を経た外部流出、警告見逃し、時系列と被害規模）は以下に基づいています。

https://www.commerce.senate.gov/services/files/24d3c229-4f2f-405d-b8db-a3a67f183883https://krebsonsecurity.com/2014/02/target-hackers-broke-in-via-hvac-company/https://krebsonsecurity.com/2014/02/email-attack-on-vendor-set-up-breach-at-target/https://www.reuters.com/article/technology/target-says-it-declined-to-act-on-early-alert-of-cyber-breach-idUSBREA2C14F/https://www.wired.com/2014/01/target-malware-identified/https://corporate.target.com/news-features/article/2013/12/target-confirms-unauthorized-access-to-payment-carhttps://corporate.target.com/news-features/article/2013/12/important-notice-unauthorized-access-to-payment-cahttps://corporate.target.com/getmedia/47488c66-8bc8-41d6-834b-80513bba407a/Target_2013_10-K_Report.pdfhttps://www.wired.com/2013/12/target-hack-hits-40-millionhttps://time.com/415/target-says-70-million-affected-by-data-breach/