夏空の迂回路 — MSPとVSAの連鎖（長編フィクション）

— 2021年の Kaseya VSA を悪用した連鎖ランサム被害（REvil／供給連鎖）を骨格にした創作

0｜金曜 16:06　「更新を押したのは、私だ」

暁（あかつき）マネージドソリューションズ——県内の中小企業九十社を支える MSP。三連休前の金曜は、パッチと棚卸しの午後だ。運用主任の夏芽は、社内の VSA サーバに「軽い更新」のポップが出たのを見て、承認を押した。ほどなく監視盤がざわめく。ヘルスチェックの緑に黄色が混ざり、外向きの帯域に細い脈動がのぼる。

赤いドットが、暁の境界から顧客へと等間隔に広がっていく。山崎行政書士事務所への短縮ダイヤルに、夏芽の指が落ちた。

1｜16:42　“止める／伝える／回す”

静岡・山崎行政書士事務所。ホワイトボードに、**律斗（りつと）**が三行だけ書く。

止める／伝える／回す

• 止める：VSAサーバを孤島化（NIC停止／境界で宛先ドロップ）。管理エージェントの外向きは白リスト以外遮断。**“自動で直す”**は封印。

• 伝える：三文で顧客一斉。正午／17時の時刻を約束し、**“事実”と“可能性”を段落で分ける。“支払い先変更メール無効”**を最初に。

• 回す：遠隔保守を止めても、現場は回す。電話復唱＋二名承認、紙運用、孤島端末を割り当てる。遅いけど確実に。

りなが頷く。「72時間の法の時計も回す。カード／医療／行政の顧客には個別ラインで。」

奏汰（そうた）は構成図に赤を走らせる。「VSAのスクリプト配布に乗られた。正規の更新に紛れ、“エージェントの手”で身内に落ちている。」悠真（ゆうま）が端末に張り付く。「暗号化のフラグだけが置かれ、時限で走る匂い。侵入者の“指”はVSAだ。」

ふみかが一次報を置く。

「時刻は安心の枠。」りなが赤で丸をつけた。

2｜17:25　“点が線になる”前に

可視化の四つの数字を、**蓮斗（れんと）**が掲げる。

• MTTD（検知）：19分

• 一次封じ込め：43分（VSA孤島化／外向き遮断）

• 影響顧客：14/90（兆候あり）

• 暗号化開始：未発火（時限）

「今は“静か”。静かなうちに配布経路を切る。」律斗。夏芽は顎を引いた。「“私が押した更新”が鍵だった。正規に似せた何か。」

りなは顧客向けに短文を整える。「“遠隔は一時停止”、“現場は回す”、“正午／17時で更新”。怒りは不安の別名。短文と時刻で落とす。」

3｜18:12　赤い壁紙、最初の一枚

物流A社のバックヤード。在庫端末の一台が、赤い壁紙に変わった。Oops! の文句は見慣れた形をしているが、どの鍵でも開かない。奏汰が首を振る。「汎用型の看板を掲げ、本体は別。“復号”で期待を作るのが彼らの台本。」

陽翔（はると）は現場に電話する。「紙運用へ切替、レジは孤島。ラベル印刷はUSB受け渡し、二名承認＋復唱。」

受付に白い猫のマスコットが置かれる。しっぽはUSB Type‑C。札には太い字で、

4｜19:40　“手で回す”夜

顧客先の**“現場の十本指”が電話の向こうで動く。紙が吐かれ、鉛筆が走り、二名の声が復唱**する。遠隔保守に慣れた身体が、忘れかけていた筋肉を思い出す。

悠真がVSAの胃袋を覗く。「C:\Kに妙な書類、署名に見える殴り書き。誰かが**“正規の格好”に寄せた**。」「“正規の更新”が扉。供給連鎖の地形。」りな。

5｜21:55　「支援します——でも払わない」

脅迫文が掲示板に上がる。「“一社当たり”ではなく、“全部まとめて”払えば全復号。」ふみかはFAQに一行を足す。

「“まとめて”が彼らの歌。」律斗。「“一網打尽に助けてやる”は善意ではない。」

蓮斗が数字を更新する。

• 暗号化発火：3社／限定

• 遅延平均：13分

• 顧客通知率：100%（23時）

• VSA以外の侵入痕：見当たらず（進行）

6｜翌朝 06:30　「戻れる速さ」の作り方

VSAは最新の安全版で空の箱から再構築、自動更新は止め、“人の10分会議”を通したジョブしか走らないようにする。ベンダ接続は白リスト、例外は48時間で自動失効。監視には二つの新しい目——“エージェント総数に対する一括スクリプトの比率”と“例外期限切れ件数”。

夏芽が短く笑う。「“便利”の中で**“遅いけど確実”を作る**。戻れる速さはそこで生まれる。」

7｜10:05　連休の真ん中、通り雨のような要求

顧客B社に**“支払い先変更”の偽メールが届いた。ふみかが台本の一行目を促す。「“メールだけは無効です。今の番号に折り返します。”」声は鍵になる。手続きで鍵穴を狭める**。

8｜12:00　正午の報

怒号はない。時刻が不安の終わりを作る。

9｜15:40　“鍵”は、届く

暁の回線に、薄い噂が走った。“まとめて解く鍵が手に入った”という外部の連絡。りなは慎重に言葉を選ぶ。「鍵が届いても、全部は戻らない。戻す手順は変わらない。使うのは私たちの“遅いけど確実”の中だけ。」

奏汰が隔離ゾーンの一社で復旧試験を回す。戻る。だが、手で積んだ紙と照合して初めて、“戻った”と言える。

10｜17:00　二次報

律斗はペン先で小さな丸を描く。「一次封じ込めは完了。残すのは手順と地図だ。」

11｜21:20　青いログと、静かな倉庫

監視盤の赤が青になり、倉庫に静けさが戻る。ラベル印刷は孤島から本線へ、二名承認だけは残す。夏芽は**“承認”というボタンを見つめ、昨日と違う手**で押した。

12｜三日目 11:40　“72時間”の線

PPCへの報告が二段落で確定する。

• 確認された事実：VSAを経由した不審スクリプト配布、一部顧客での暗号化、VSA孤島化／再構築、外向き遮断、復旧状況。

• 未確定（継続調査）：侵入の初期経路の特定、“正規更新に偽装”の詳細、影響の範囲。

蓮斗の数字。

• MTTD：19分 → 9分（監視窓調整後）

• 一次封じ込め：43分 → 28分

• 復旧率（暗号化発生顧客）：100%

• 例外期限遵守率：98%

りなは三行で締める。

受付でやまにゃん（白い猫のマスコット）がしっぽのType‑Cを光らせる。札には、変わらない一行。

“私が押した更新”は、教訓に変換された。便利の向こうに、遅いけど確実の枠を置く。三連休は終わり、暁は朝を迎える。

—— 完

参考リンク（URLべた張り／事実ベース・一次情報／主要報道・技術解説）

※物語はフィクションですが、骨格となる事実（Kaseya VSA を足場にした連鎖ランサム／供給連鎖・一斉配布・“まとめて解く鍵”・当局の勧告・MSPと中小企業への波及）は以下に基づいています。

https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-194ahttps://www.divd.nl/cases/CVE-2021-30116/https://www.kaseya.com/blog/2021/07/22/kaseya-obtains-universal-decryption-key/https://www.huntress.com/blog/rapid-response-kaseya-vsa-supply-chain-ransomware-attackhttps://news.sophos.com/en-us/2021/07/05/kaseya-supply-chain-attack/https://www.reuters.com/technology/us-softwares-kaseya-gets-key-unlock-systems-hit-by-ransomware-2021-07-22/