壁紙の赤 — WannaCryの連休（長編フィクション）

— 2017年の「WannaCry／WannaCrypt」大規模感染（MS17‑010／SMBv1／“キルスイッチ”ドメイン）を骨格にした物語

1｜金曜 16:42　“Oops!” の声が工場に落ちる

東陽精機・駿河工場。出荷ライン脇の事務端末が赤い壁紙を吐いた。「Oops, your files have been encrypted!」画面のカウントダウンは72時間。$300→$600の文字が、金属音よりも冷たく響く。

現場主任の真由は、赤い画面の写真を撮って情報システム課に投げる。夏芽の耳に、サーバ室のファン音が急に大きくなったように聞こえた。同時に監視画面が緑から黄へ、黄から赤へと染まっていく。ファイルサーバのI/Oが乱れ、CPUが短い山をつくる。

2｜17:28　“止める／伝える／回す”

静岡・山崎行政書士事務所。ホワイトボードに**律斗（りつと）**が三行だけ書く。

止める／伝える／回す

• 止める：工場LANの幹線を遮断。SMBv1を殺し、445/TCPの内外を即時ドロップ。感染疑い端末は電源を落とさずにLANから外す（暗号化の続行を避けるため）。

• 伝える：三文で社内／主要取引先へ。正午／17時の時刻を約束。“事実”と“可能性”を段落で分ける。

• 回す：出荷・受注は紙運用へ。ラベル印刷は孤島PCに移し、USBでCSVを渡す。遅いけど確実に回す。

りなが付け足す。「法の時計は72時間。**“支払い先変更のメールは無効”**を最初の三文に必ず入れてください。」

奏汰（そうた）は構成図に赤を走らせる。「SMBv1が残っているゾーンがある。MS17‑010の未適用が疑わしい。EternalBlue系で入られて、ワームで横に走る筋書き。」

悠真（ゆうま）は端末に向かい、短く言う。「外へ触手が伸びた痕跡はない。WannaCryは外に電話する。“あるドメイン”に繋がると止まる仕様があるはず。」

ふみかが一次報の原稿を置く。

りなは赤ペンで丸を付ける。「時刻は安心の枠。」

3｜18:31　“キルスイッチ”を通すか、切るか

蓮斗（れんと）が四つの数字を出す。

• MTTD（検知）：19分

• 一次封じ込め：1時間03分

• 出荷継続率：60% → 正午80%（見込み）

• 感染疑い：端末11台／サーバ1台

悠真が続ける。「WannaCryは起動時に特定のドメインへ問い合わせ、応答があれば自分を止める仕様がある。解析者がそのドメインを登録して沈静化させた事例がある。」

「外へのDNSとHTTP、全部切るのがいつもの初動だが……」夏芽が言いかける。律斗がうなずく。「例外に期限を。“そのドメインだけ”は許可する。他は遮断。30分ごとに見直し。」

奏汰は境界FWに特例を入れる。黒髪をかき上げ、机を軽く叩いた。「通した。」

やまにゃん（白い猫のマスコット）が受付に置かれる。しっぽはUSB Type‑C。札には、太い字でこうある。

4｜20:15　赤い壁紙の向こう側

隔離ゾーンの一台は既に暗号化されていた。壁紙は赤、復号への希望は薄い。復旧はバックアップから、紙で回している在庫と照合するしかない。

りなはPPC向けのドラフトを二段落で整える。

• 確認された事実：暗号化表示、工場LANの分割、SMB遮断、感染疑い端末の隔離、一部バックアップからの復旧。

• 未確定（継続調査）：第三者提供の有無（本件は暗号化主体で、対外送信の確証なし）。

「混ぜない。事実と可能性を同じ文に置かない。」りなが言う。

陽翔（はると）は現場に電話する。「ラベルは孤島PCで吐く。USBの受け渡しは二名承認、口頭復唱。ネットワークは繋げない。」

5｜22:58　パッチは“階段”で

MS17‑010のオフライン適用が始まる。古いゾーン、スタンドアロンの検査端末、WSUS未管理の隅っこ。全部いっぺんに上げれば速い。だが戻れない。奏汰は段を作る。「第1波は境界に近い端末、第2波は間接部門、第3波で現場フロア。各波の合間に感染兆候を見る。」

ふみかは顧客向けのFAQに一行を足す。

身代金の話は、どこにも出ない。払って戻る保証がないからだ。

6｜翌朝 06:40　工場の朝と世界の地図

ダイカストの音が戻る。フォークリフトが遅い弧を描く。蓮斗の数字が緑寄りになる。

• 出荷継続率：82%

• 遅延平均：17分

• 更新適用率（MS17‑010）：基幹100%／周辺71%

• SMBv1無効化：92%

夏芽が窓を開ける。「世界中でこれが走っている。」NHSのように医療現場が麻痺し、自動車工場が止まったニュースを昨夜から見ている者もいた。律斗は静かに言う。「“うちは間に合った”。でも偶然じゃない。止め方と伝え方と回し方の手順だ。」

7｜12:00　正午の報

ふみかが読み上げ、りなが段落を整える。

怒号はない。時刻が空気を冷やす。受付のやまにゃんが、しっぽのType‑Cで小さく光った。

8｜14:25　“第二波”を想定する

派生CVEのアラートが続く。キルスイッチを回避する変種の情報も飛び交う。悠真が口を開く。「DNSの特例は刻みで見直す。穴を小さく、でも塞ぎ切らない。“今夜だけ”の線を何本も引く。」

奏汰は監視に二つの新しい目を足す。“外向き参照率（プロトコル別）”と“例外期限切れ件数”。例外は48時間で自動失効、延長は10分会議（オペ・上長・セキュリティ）で。

9｜17:00　二次報

律斗はペン先で小さな丸を描く。「一次封じ込め完了。残すのは手順と地図。」

10｜21:40　“戻れる速さ”をつくる

JVMが順番に再起動する。イミュータブル化したアプリを新しい箱に入れ替え、古い箱は退役。バックアップはバージョンと検証が紐づき、復元テストは人の10分を鍵にする。

新名が小さく息を吐く。「鳴るべきアラートが、鳴る。」

11｜3日目 08:10　“72時間”の線の向こう

PPCへの報告が確定する。“確認された事実”、“未確定（継続調査）”、“封じ込め”、“再発防止”。短く、しかし厚く。りなは三つの原則で締める。

蓮斗の数字。

• MTTD：19分 → 8分（監視窓の再設計後）

• 一次封じ込め：1h03m → 41m

• 更新適用率：全系100%

• 例外期限遵守率：98%

やまにゃんの札には、変わらぬ一行。

工場の金属音はいつもの速さに戻り、紙は薄く、しかし確かに積み上がっていく。壁紙の赤は過去形になり、手続きと数字が新しい鍵になった。

—— 完

参考リンク（URLべた張り／事実ベース・一次情報／主要報道・技術解説）

※物語はフィクションですが、骨格（MS17‑010／SMBv1、キルスイッチ、世界的影響、製造・医療現場の停止、当局の勧告・帰属、運用の要点）は以下の資料に基づいています。

https://www.cisa.gov/news-events/alerts/ta17-132ahttps://health-isac.org/wp-content/uploads/US-CERT-TA17-132A-Indicators-Associated-With-WannaCry-Ransomware-15.pdfhttps://learn.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010https://support.microsoft.com/en-us/topic/ms17-010-security-update-for-windows-smb-server-march-14-2017-435c22fb-5f9b-f0b3-3c4b-b605f4e6a655https://msrc.microsoft.com/blog/2017/05/customer-guidance-for-wannacrypt-attacks/https://www.microsoft.com/en-us/security/blog/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/https://malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.htmlhttps://www.nao.org.uk/reports/investigation-wannacry-cyber-attack-and-the-nhs/https://www.reuters.com/article/business/renault-nissan-resumes-nearly-all-production-after-cyber-attack-idUSKCN18B0S5/https://www.reuters.com/article/technology/honda-halts-japan-car-plant-after-wannacry-virus-hits-computer-network-idUSKBN19C0EI/https://trumpwhitehouse.archives.gov/briefings-statements/press-briefing-on-the-attribution-of-the-wannacry-malware-attack-to-north-korea-121917/https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-106a