港の静止 — NotPetyaの断層（長編フィクション）

— 2017年「NotPetya（通称：Nyetya/ExPetr）—ウクライナの会計ソフト更新経由のサプライチェーン侵害→社内横展開（EternalBlue/EternalRomance＋認証情報奪取）→MBR/MFT破壊による“身代金を装う破壊”→海運・物流・製造など世界的被害」を骨格にした創作

00｜火曜 11:18　鳴りやまない「再起動」

蒼海（そうかい）ロジスティクス港湾ターミナル。夏芽は、TOS（ターミナル運用システム）の監視画面で作業キューが突然止まるのを見た。ゲートは開いている。岸壁クレーンは空を掴んだまま固まる。現場端末が一斉に再起動し、黒い画面に白い疑似CHKDSKが流れ始める。

修復は戻り道ではなかった。数分後、端末は沈黙した。

「山崎行政書士事務所、最短で。」

01｜11:32　“止める／伝える／回す”

静岡・山崎行政書士事務所。ホワイトボードに**律斗（りつと）**が三行を書く。

止める／伝える／回す

• 止める：AD（ドメイン）とファイル共有のSMBを境界から遮断。東棟LANを物理分割し、ターミナル機器はオフライン島へ退避。電源は落とさず、証跡を一方向で保全。EternalBlue/EternalRomance系の横展開を壁で止める。

• 伝える：三文で港湾管理／船社／通関業者に同報。“確認された事実”（疑似CHKDSK→端末起動不能）と**“可能性（仮説）”（“身代金を装う破壊”の型**）を段落で分け、正時／17時の更新時刻を約束。「支払い先変更メールは無効」を一文目に。

• 回す：ゲート運用は紙の搬入票と無線で手動化。船腹計画はホワイトボードへ。遅いけど確実に回す。

りなが頷く。「72時間の法の時計も回します。“声は鍵”（折り返し＋二名承認）を全窓口で。」

奏汰（そうた）は構成図に赤を走らせる。「M.E.Docの更新サーバを踏み台に帳票ソフトへ悪性更新を混ぜ、最初の一歩を作る。中では認証情報を吸い、SMBの古傷で走る。最後はMBR/MFTを壊す“身代金の仮面”。」

悠真（ゆうま）が短く足す。「鍵は最初から存在しない。支払いで戻る設計じゃない。」

ふみかは一次報の三文を置いた。

受付の**白い猫のマスコット（やまにゃん）**が光る。札には太い字。

02｜12:10　「戻らない」設計

ランサムノートに書かれた連絡先メールは既に死んでいた。“復号鍵”を渡す窓など、最初から用意されていない。夏芽はストレージの生の息を聴診器のように聞く。「消されていないのはログだけ。戻す道は自分たちで作るしかない。」

蓮斗（れんと）が四つの数字を書く。

• MTTD（検知）：14分（疑似CHKDSK→端末多数停止）

• 一次封じ込め：39分（SMB遮断／分割／退避）

• 稼働影響：ゲート通過 −80%／クレーン作業 −100%（停止）

• 紙運用立ち上げ：45分

律斗は短く言う。「勝ってはいない。**“間に合っている”**だけだ。」

03｜13:25　“会計の島”が火口だった

東欧支社からのヒアリングで、“会計ソフトの更新が固まった朝”の話が出る。更新の直後、ログインが重く、しばらくして沈黙した。サプライチェーンが火口。炎は社内で酸素を得て走った。

奏汰は横展開の筋を断つ。

• SMBv1の全域無効化

• 認証情報の強制失効とJIT特権（常時特権ゼロ）

• ラテラル移動のふるまい検知を別の目（ETW/Sysmon）で常設

04｜14:40　“港を紙で回す”

ゲート小屋に紙の山ができる。運転手は手書きの搬入票を差し出し、係員が無線でヤードに呼びかける。クレーンは安全停止。人が合図を取り戻す。遅い。だが、戻れる速さはここからしか生まれない。

やまにゃんの札が静かに光る。

05｜16:05　“残った一粒の種”

AD（ドメイン）が灰になり、復旧の基点が消えた。世界中の支社に連絡を飛ばす中、西アフリカの小さな拠点だけが停電で閉じていたと判明する。偶然が一つ、種を守った。現地へ技術者が飛び、救い出したディレクトリの写しが新しい森の根になった。

06｜17:00　二次報

蓮斗の数字。

• MTTD：14分 → 7分（“CHKDSKパターン”検知を常設）

• 一次封じ込め：39分 → 25分

• 常時特権：ゼロ（JIT化完了）

• 例外期限遵守率：98%

07｜二日目 08:10　“世界の同時多発”

ニュースはウクライナの税務から海運・製造・医薬へ延焼を伝える。英国政府や米政府が**“ロシア軍による攻撃”だと帰属を発表し、技術共同体はM.E.Docの接続や暗号学的破壊を図解する。帰属はわたしたちが言わない**。公的発表に歩調を合わせる。わたしたちは**“何が起き、何を止め、どう戻すか”だけを時刻**で言う。

08｜三日目 11:40　“72時間”の線

所管への報告が二段落で確定する。

• 確認された事実：疑似CHKDSK→端末停止、SMB遮断／分割／JIT特権、AD基点の遠隔再生、ゲート紙運用、TOS最小復帰。

• 未確定（継続調査）：第三者提供の有無・範囲、初期侵入（サプライチェーン）の確証線、外部機関連携の結果。

講堂に三つの時計が並ぶ。

1. 現場の時間（ゲート・岸壁・通関）

2. 規制の時間（72時間）

3. 経営の時間（信頼・費用・再発防止）

りなは三行で締める。

09｜一か月後　港は動く

TOSは新しい箱で最低限から戻り、クレーンは歌を取り戻した。紙と無線の余白は、手順として残した。NotPetyaが教えたのは、**“身代金に見せかけた破壊”と、“戻れる速さは事前の分離と紙の道”**だ。

やまにゃんの札は変わらない。

—— 完

参考リンク（URLべた張り／事実ベース・一次情報／主要公的通達・技術解説・報道）

※物語はフィクションですが、骨格（M.E.Doc 経由のサプライチェーン、EternalBlue/EternalRomance 等での横展開、“身代金を装う破壊”、世界的被害と海運への影響、英米政府の帰属表明、復旧の実相）は下記で確認できます。

https://www.cisa.gov/news-events/alerts/2017/06/27/petya-ransomwarehttps://blog.talosintelligence.com/2017/07/the-medoc-connection/https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/https://www.microsoft.com/security/blog/2017/06/27/new-petya-ransomware/https://securelist.com/exPetr-analysis/79251/https://www.eset.com/int/about/newsroom/blog/research/analysis-of-winning-setup-of-2017s-notpetya/https://www.ncsc.gov.uk/news/statement-uk-government-attributes-notpetya-cyber-attack-russian-militaryhttps://trumpwhitehouse.archives.gov/briefings-statements/statement-press-secretary-attribute-notpetya-cyber-attack-russian-military/https://www.justice.gov/opa/pr/six-russian-gru-officers-charged-connection-worldwide-deployment-destructive-malware-andhttps://blog.fox-it.com/2017/07/04/peering-through-the-smoke-tentative-connections-to-the-ukraine/https://www.ncsc.gov.uk/guidance/assessing-cyber-attacks-on-uk-organisation-from-ukraine-2017https://www.bbc.com/news/technology-40416611