夜明けの星図 — サンバーストの冬（長編フィクション）

— 2020年の SolarWinds Orion 供給網攻撃（SUNBURST／UNC2452／NOBELIUM）を骨格にした物語

06:12｜監視塔の窓

臨海コンビナートの発電・上下水・入退室までひとまとめで“見張る”統合監視室。オライオンと名のついたソフトが、数千の装置を夜通し見回る。運転支援チームの小坂は、ログの端で見慣れない星を見つけた。

「何の更新だ？」小坂は首をひねる。宙ぶらりんの通信。応答はあるが仕事をしていない。ラベルは**“改善プログラム”。――改善が、黙ってこちらを覗く**ことだってある。

小坂は、山崎行政書士事務所の番号を押した。

06:58｜“止める／伝える／回す”

静岡・山崎行政書士事務所。ホワイトボードに、律斗が三行を書く。

止める／伝える／回す

• 止める：Orionサーバを孤島化（NIC無効・スイッチ切離し）。証跡は一方向で吸い上げる。

• 伝える：三文で現場と関係先へ。時刻（正午／17時）を約束。**“事実”と“可能性”**は段落で分ける。

• 回す：監視の代替を最小構成で再起動。現場巡回の頻度を上げて安全余白を作る。

りなが付け足す。「供給網（サプライチェーン）の線です。『正規の更新』が扉だった可能性を伝える。身代金ではない。息を潜める敵。」

奏汰は図面を広げる。「Orionが握るのは**“見える化”の鍵だけじゃない。機器の設定や資格情報も抱えがち**。連鎖させないため、管理者パスとAPIキーは先に回す。」

ふみかが一次報の三文を置く。

「時刻は安心の枠。」りなが赤い丸をつける。

07:40｜星座の正体

悠真が“孤島”の中で静かに採取する。SolarWinds.Orion.Core.BusinessLayer.dllに余計な針。二週間の冬眠を経て、星座は声を潜めて雲の向こうへ。――SUNBURST。そう呼ばれた仕掛けに似ていた。

「偽装が丁寧。改善プログラムの皮を着てる。」悠真はモニタから目を離さない。「DNSを踏み台に相手先を選ぶ。眠る時間が長いのは生き延びるため。」

蓮斗が四つの数字を出す。

• MTTD（検知）：13日（既設監視の目から逆算）

• 一次封じ込め：1時間21分（隔離完了）

• 資格情報回転率：管理者85%／API 60%（進行中）

• 代替監視稼働率：70% → 正午90%

律斗は短く頷く。「勝ってはいない。**“間に合っている”**だけだ。」

08:30｜“おとなしい敵”が一番怖い

りなはホワイトボードに二本の時計を描く。左は現場の時間、右は規制の時間（72時間）。

「“静かだった期間”をどう扱うか。」現場責任者の高松が問う。「静かでも侵入は侵入。広報は**“確認された事実”と“未確定（継続調査）”を分ける**。」りなは答える。「供給網の更新を踏み台に特定サーバを選んで入ってくる。星座の線引きだ。」

奏汰が手順を読む。「Orion更新の自動化を全面停止。該当バージョンを棚卸し。該当端末のSAML・認証連携は一度切る。メール転送ルールを全件確認。」

陽翔は無線で現場に入る。「点検の足を増やす。遅いけど確実に。」

12:00｜正午の報

ふみかが読み上げ、りなが段落を整える。

窓口は静まり、現場は少しだけ呼吸を取り戻す。受付のやまにゃん（白い猫のマスコット）が、しっぽのUSB Type‑Cで光を拾う。札には油性ペンで、こう。

13:10｜“星を消す”動き

午後の早い時間、通信先の星が消える。相手側の仕掛けに**“止める仕組み”が入ったのだろう。世界のどこかで同じ星図を見ていた人たちが、雲に穴**を開けた。

悠真は孤島の前で言う。「今は静か。だが**“後段”は別道を持つ。SAML偽造や権限連鎖の痕跡を探す**。」

奏汰はクラウド側に目を向ける。「OAuthの同意、不審アプリ。古い認証連携は捨てる。」

15:22｜“信頼”の単位

高松は経営会議で問われる。「第三者に責任は？」りなが答える。「“正規の更新”の前提が破られた。供給網に敵が紛れた。責任というより分業の再設計です。信頼を**“署名と手続き”で表現する。自動で入るものに“人の10分”**を挟む。」

ふみかは顧客FAQに一行足す。

身代金は主役ではない。静けさの奥に耳を澄ます。

17:00｜二次報

律斗は小さく言う。「一次封じ込めは完了。残すのは手順と地図だ。」

21:30｜“地図”を書き直す夜

クリーンルームに新しい星図が広げられる。Orionは最新の安全版で最小構成、監視対象を業務ごとに分割。自動更新は止め、人の10分会議を鍵にする。権限は職務で切り分け、全部の鍵束は誰にも渡さない。

蓮斗の数字が緑に寄っていく。

• 代替監視稼働率：90% → 96%

• 資格情報回転率：管理者100%／API 93%

• 不審通信：0（24時間）

• 顧客通知率：100%（維持）

2日目 08:05｜“遅いけど確実”の設計

電子監視は戻り、復唱は続く。例外は48時間で自動失効。監視のダッシュボードには二つの新しいパネル――“署名検証の成否”と“人の10分会議の通過率”。

高松が笑う。「見える化が増えた。信頼の数が見える。」

りなは頷く。「信頼は感情ではなく、手続きの数。」

一週間後｜ポストモーテム「星図と手続き」

講堂に三つの時計。

1. 現場の時間（運転・保全・巡回）

2. 規制の時間（72時間）

3. 経営の時間（信用・コスト・再発防止）

蓮斗の数字。

• MTTD：13日 → 2日（新ルール後／監視の“窓”を短縮）

• 一次封じ込め：1h21m → 49m

• 資格情報回転の所要：初動12h → 6h

• 例外期限遵守率：98%

りなは三行で締める。

律斗は端に書いた。

やまにゃんの札は、今日も受付で小さく光っている。

―― 完

参考リンク（事実ベース・一次情報／主要報道）

※物語はフィクションですが、骨格の事実（SolarWinds Orionの供給網侵害、SUNBURSTの特性、緊急指令・推奨対応、影響範囲の公的整理）は以下に基づいています。

https://www.cisa.gov/news-events/alerts/aa20-352ahttps://cyber.dhs.gov/ed/21-01/https://www.solarwinds.com/securityadvisoryhttps://www.mandiant.com/resources/sunburst-solarwinds-supply-chain-attackhttps://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.htmlhttps://www.microsoft.com/security/blog/2020/12/13/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-responded/https://www.microsoft.com/security/blog/2021/02/18/using-zero-trust-principles-to-protect-against-nobelium/https://www.crsreports.congress.gov/product/pdf/IN/IN11559https://www.cisa.gov/news-events/alerts/2021/01/06/continued-activity-related-solarwinds-cyber-incidenthttps://www.justice.gov/opa/pr/department-justice-takes-action-disrupt-botnet-used-cyber-actors-previously-compromisehttps://www.enisa.europa.eu/publications/supply-chain-attacks/@@download/fullReport