午前8時のウォールーム — 山崎行政書士事務所サイバー対応録

午前7時58分。静岡の事務所は、まだ空調の音が勝っている。入口のマットに雨のしずく。給湯室では、叶多がペーパーフィルターを押しつぶすようにドリップを落としていた。

Teamsの通知が鳴る。[High severity: OAuth suspicious consent granted / Exchange Online]

画面を覗き込んだ律斗が声を短く落とす。「起きた。ウォールーム開く。会議室A、二分後。」

1

08:02 — 会議室A。ホワイトボードには「一次遮断」「調査」「対外連絡」の三本線。

「対象は顧問先の物流会社・港北運輸、テナントは kohoku.co.jp。Exchange Onlineで“メールルール一括作成”の権限を持つ怪しいアプリに同意が入った痕跡。」と蓮斗。「IPはベトナムとドイツ間を揺れてる。“不可能な移動”。」悠真がノートPCを指で叩く。

りなが手帳を開いた。「まず、資金移動詐欺の文脈を疑う。メール転送ルールで請求書の宛先を払戻口座に差し替える典型パターン。一次遮断で“同意の取り消し・トークン失効”。対外連絡で“支払い停止要請”。調査で“どこまで見られたか”。」

奏汰が手を上げる。「トークン失効、僕やります。条件付きアクセスに緊急ブロックポリシー追加して、役員アカウントも一時停止でいいですか？」「やれ。」律斗は短くうなずく。「りな、通知文面。ふみか、広報ドラフト、二段階で。顧客先CSIRT向けと、一般向け予備。陽翔は港北運輸の総務に電話、支払い停止の即時要請。叶多、会議室Bを“復旧作業室”にして、キーローテーションの手順書を貼り出せ。」

ホワイトボードの余白に、蓮斗がKQLの断片を書き付ける。

SigninLogs
| where AppDisplayName has "Exchange"
| where RiskLevelDuringSignIn in ("medium", "high")
| summarize min(TimeGenerated), max(TimeGenerated), dcount(IPAddress)
          by UserPrincipalName, AppId

「AppId 末尾が“8f1c”のやつが怪しい。」悠真の声は落ち着いている。

2

08:16 — 「港北運輸のCFO、電話つながりました。」陽翔がスピーカーフォンを中央に置く。『……本日支払予定の外注四件、すべて一時保留にします。社内メールに“支払い先変更”の通知が来てましたが、念のため無視します。』

「ありがとうございます。以降の支払いに関するメールのみでの指示は無効としてください。電話でのダブルチェックをお願いします。」りなが言い切る。

ふみかが広報案を読み上げる。「一次報：『社内メール受信設定に不審な挙動を検知。当該機能を停止し、第三者のアクセス兆候の有無を確認中。現時点で個人情報流出の確証はなし。』二次報の骨子は“転送ルールの強制解除”“強制パスワード変更”“MFA再登録”。」

「OK。言い切り多めで。“疑い”と“確証なし”の線引きをはっきり。」律斗がうなずく。

3

08:41 — 復旧作業室。叶多が壁に大判の付箋を並べていく。Key Vault: シークレット回転（メール送信用アプリのクライアントシークレット／Webhook署名）Entra ID: リフレッシュトークン無効化／同意の取り消し／ハイリスクユーザーの強制リメディエーションExchange: 転送ルール列挙→強制削除／仕向先ドメインブロックDefender for O365: シミュレーションフィッシング開始（週内）

奏汰が画面を見つめる。「トークン無効化、完了。Consentログも追跡してます。」「そのまま“OAuthアプリの同意履歴”をエクスポート。時刻分解能は分単位で。」蓮斗。

悠真がぽつりと言う。「“Inbox rules: forward to external”が四件。作成者は“アプリ”。対象は経理三名と購買一名。時間は今朝5:32–5:35。」

りなが指を止めた。「APPI（個人情報保護法）の観点では“漏えい事実”までは踏み込めない。だがPPCの報告ドラフトは準備しておいて。もし外部転送で個人情報が含まれていた場合、速やかな報告が必要になる可能性が高い。GDPR域の取引先もあるから、72時間のラインも並走で管理。」

「能動的サイバー防御は？」叶多が冗談めかして言う。「やらない。」りなの答えは即答だった。「相手のインフラに手を出すのは違法の可能性が高い。私たちがやるのは証跡の保存と遮断と連絡。」

4

09:10 — ランチャートの上に、線が増えていく。9:12 役員アカウント 14件の失敗→ブロック9:17 仕入先「三光梱包」からの請求書PDFにマクロ：検体隔離9:25 ベンダーBのM365から“自動転送”の痕跡。CSIRT同士で連絡開始

ゆいが額に髪をまとめ、駆け込む。「検体、静的解析だけど“サイドローディング型”のローダ。PDFに見せかけてdocm呼び出し。港北側は開いてないけど、ベンダーBの端末が落ちてる。」

律斗は目を閉じる。「供給網だ。港北だけ見ていても片はつかない。」

りながメールを打つ指を止めない。「ベンダーBに“支払い指示の変更はすべて無効”の通達を依頼。港北の総務にも“ベンダーB宛の全支払い停止”の再通知。電話検証を必須に。」

5

09:46 — 事務所の奥、ログを吸い上げる関数が青く点滅している。Azure Function App → Event Hub → New Relic。昨夜、奏汰がギリギリで仕上げたばかりのパイプラインだった。

「よく動いたな、これ。」蓮斗がグラフを指す。AppId: ...8f1c のイベントが、午前5時台に三回だけスパイク。Graph.Mail.ReadWrite、Exchange.ManageAsApp。「人じゃない。」悠真の声。「アプリがメールを見て、ルールを作り、痕跡を薄くした。」

ふみかが別紙を持ってくる。「CSIRT向け一次報、レビューお願いします。『OAuth同意の不正利用により、外部転送ルールの作成を確認。二次被害の懸念があるため、関係各社にダブルチェックの依頼を発出。技術的対策として、当該アプリの同意撤回およびトークン失効を実施。』」

「言い切りよし。」りなが赤を入れる。「“確認”と“懸念”を同列に置かない。確認は事実、懸念は可能性。文面に階段を作らないと、読む側はつまずく。」

6

10:12 — 会議室A。ホワイトボードの左端、太い線で「支払い停止：確認」の丸が閉じられる。

「経理の三宅さんから折り返し。『請求書PDFの差し替え』のメール、ゴミ箱に入ってました。」陽翔が言う。「差し替えの口座番号は？」「三井住友銀行　新横浜支店　普通の……末尾777。実在の口座かは不明。」「金融機関への通報、こちらでやる。」りな。

奏汰がため息をつく。「Allow forwarding to external のテナント設定、例外が多すぎます……。一気に閉じると現場が回らない。」

「**“期限付きの例外”**に落とす。」律斗。「現場は回す。ただし、いつまで回すかを決める。」

7

11:40 — 昼前、空調とキーボードの音だけが続く。みおが机の角に腰を掛け、「やまにゃん」をぽんと置いた。白猫のしっぽの先にUSB Type‑Cのコネクタ。「みゃ～てら！」と書かれた小さな札。

「空気、詰まってる。」みおのイタズラっぽい笑顔にも、誰もツッコまない。りながふっと笑った。「癒しは重要な対策よ。」

8

13:05 — 午後のセッション。転送ルールの全削除が完了。Exchangeの管理画面に、“0 rules found” が並ぶ。「サインインの連続失敗は止まった。」悠真がグラフを手で追う。「Impossible travel も収束。」

蓮斗がタイムラインを読み上げる。

• 05:32–05:35 不審アプリへ同意 → メール転送ルール4件作成

• 06:10–07:00 経理向け“支払い先変更”メール（ベンダーBのアカウントから）

• 08:02 ウォールーム設置 → 08:16 支払い停止要請

• 08:41 キー回転／トークン失効／同意撤回

• 10:12 金融機関通報

• 11:55 ルール削除完了

• 13:00 監査ログおよび証跡保全イメージング

「一次封じ込め完了。」律斗がペン先で丸を描く。「**次は“なぜ”**だ。」

9

14:20 — 「三光梱包の管理者から返答。端末一台、EDR隔離。メールは『請求書の件』のスレッドに割り込まれていました。」ふみかが読み上げる。「BEC（ビジネスメール詐欺）とOAuth同意、二段の仕掛け。」りな。「“信じる先”をずらして、“止めづらい”権限を盗る。」

ゆいが画面を見ながら言う。「港北の受信トレイにも“会話の流れ”を使って、口座変更を促す文面。AIで文章の癖を寄せてる感じがあります。」

「文章の癖？」奏汰が首をかしげる。「句読点の打ち方、ファイル名の付け方、呼称の順番。機械は真似できる。真似できないのは**“沈黙の了解”の温度**。」

りなが頷く。「だから電話。だから二名承認。だから**“例外に期限”**。」

10

16:10 — 夕方の風が窓の上端を震わせる。港北運輸の会議室と、山崎行政書士事務所の会議室A、二つのスクリーンに共同のポストモーテムが映る。

律斗が共有を開始する。「今日の目的は“誰のせいか”ではなく、“どう回すか”。五つの提言を置く。」

1. 支払い指示の運用改定：メール単独指示の廃止、電話ダブルチェックの常態化、二名承認。

2. OAuth同意の管理：Admin consent のワークフロー化、同意レビューの毎週化。

3. 転送ルールの禁止：外部転送は個別申請＋期限＋自動失効。

4. 可視化の強化：Event Hub → New Relic のメトリクス継続運用。異常検知のしきい値は来週見直し。

5. 人の復旧：フィッシング訓練は罰ではない。学びと安心のために設計する。

港北のCFOが言う。『今日、支払いが止まったのが最大の成果だと思っています。みなさん、ありがとうございます。』

りなが小さくうなずく。「止めることは責めることじゃない。守ることです。」

11

19:40 — 事務所の灯りがまばらになる。叶多が空になったコーヒー缶をつぶし、資源ごみの箱に放り込む。窓の外に、駿河湾の黒い面がちらりと見える。

奏汰がモニタに残っているKQLのウィンドウを閉じようとして、手を止めた。そこには、未保存のメモが残っていた。

Lessons (draft)
- 「例外」は人の温度を保つためにある。だが、例外には必ず「終わり」を。
- 「AIの癖真似」には、「人の沈黙」を合わせない。沈黙は電話で埋める。
- 「動いた可視化」は信頼に変わる。見えるから、止められる。
- 「やらない」勇気。能動的防御を叫ぶ声に、法の線で返す。

「それ、残しとけ。」いつの間にか後ろに立っていた律斗が言った。「明日の朝、全員で読む。」

「了解です。」奏汰は保存ボタンを押した。

12

21:05 — 最後に残ったのは、りなと律斗だけだった。りながカーディガンを羽織り、ノートPCを閉じる。「“完璧な設計”に、私は懐疑的なの。」りながぽつりと言う。「現場は呼吸してる。人がいて、例外があって、期限が切れて、予算が動く。だから、今日みたいな日がある。」

律斗は笑った。「**“設計の完璧”じゃなくて、“反応の訓練”**だな。」

「そう。」りながドアに手をかける。「**そして、文章。**今日、言い切った言葉が、誰かの手の震えを止めた。それも対策。」

廊下に出ると、「やまにゃん」が会議室Aの窓辺に座っていた。USBのしっぽが、夜の街の光をちいさく反射している。

13（翌朝の追伸）

08:03 — 朝会。ホワイトボードの端に、ふみかの字で書かれた一行。

りなが頷き、マーカーを握る。「運用の例外、今週の期限。三つ、書いて。」

蓮斗がKQLの新しい行を開く。奏汰はEvent Hubのダッシュボードをリフレッシュする。叶多がコーヒーを淹れ、みおが「やまにゃん」を中央に置く。陽翔は顧客の総務に朝の挨拶を入れ、悠真は夜間のログの**“静かさ”**を確認する。

誰の声でもない空調の低い音の向こうで、まだ見ぬ今日のアラートが、どこかで小さく光っている。しかし、彼らは知っている。止めるべき支払いは止まり、書くべき文章は書かれ、回すべき現場は回る――その一日を積み上げることが、最も地味で、最も強い対策だということを。

付記：この物語は、山崎行政書士事務所の現場に根ざしたフィクションです。実在の出来事・団体・人物とは関係ありませんが、サイバーセキュリティ対応の描写は実務の流儀に基づいています。技術名・製品名は一般名詞として用い、攻撃手法の具体的な手順には踏み込みませんでした。現場で何より大切なのは、止める判断と伝える言葉と続ける運用――その三つです。