午前八時二十分。

第三会議室のホワイトボードには、昨夜の文字がまだ残っていた。

観測窓

その下に、山崎が書いた三つの言葉。

閲覧通知共同編集履歴アクセス解析

三枝涼真は、その文字を見ながら、昨夜から続く違和感を言葉にしようとしていた。

窓は見つかった。

災害時配送ルートマップの閲覧通知。Asterのモデル評価基盤の通知チャンネル。営業資料の閲覧通知。品質管理クラウドのコメント通知。

だが、それらは別々のサービスにある。

攻撃者が、それぞれの窓を一つずつ見ていたのだろうか。Asterの評価基盤。外部地図サービス。営業資料共有サービス。品質管理クラウド。

それぞれを侵害し、それぞれの通知を監視していたのか。

可能性はある。

だが、何かが不自然だった。

Blue Heronは、こちらの動きに対して、あまりにも速く反応している。Phase2をキャンセルした時も。AsterのScenario Stress 04を開いた時も。災害時配送ルートマップを確認した時も。観測窓の棚卸しを始めた時も。

まるで、窓を一つずつ覗いているのではなく、窓から入る光を一か所で集めているようだった。

三枝は、外部共有資料台帳を開いた。

列を一つ追加する。

通知集約先

山崎が、それに気づいた。

「三枝さん」

「はい」

「何を見ていますか」

「通知がどこへ飛んでいるかです。外部サービスごとの通知先を見ていると、どれも別々に見えるんですが、もしかすると共通の転送先があるかもしれません」

山崎は、少しだけ目を細めた。

「通知の集約先」

「はい。外部サービスからの通知を、社内チャットやメールにまとめる仕組みがあったはずです」

黒崎課長が、顔を上げた。

「NotifyBridgeか」

三枝は頷いた。

「たぶん、それです」

秋山法務総務部長が聞いた。

「NotifyBridge？」

黒崎が説明した。

「外部サービスの通知をTeamsチャンネルへ集約するSaaSです。地図サービス、営業資料共有、品質管理クラウド、電子契約、BIの通知をまとめて受けるために使っていました」

望月社長が言った。

「今も使っているのですか」

黒崎は、すぐには答えなかった。

「一部は別の仕組みに移行したはずです。ただ、完全に廃止したかは……」

三枝は、管理台帳を検索した。

NotifyBridge

契約管理表に、該当があった。

契約開始は三年前。利用目的は、外部SaaS通知の社内集約。契約更新は一年前に停止。状態。

移行済み。契約終了予定。

終了予定。

また、この言葉だった。

三枝は、実際のクラウド連携一覧を開いた。

そこに、まだあった。

notifybridge-connector-prod

最終実行。

昨日 23:42

会議室の空気が変わった。

三枝は、静かに言った。

「NotifyBridgeのコネクタ、まだ動いています」

黒崎が、椅子から身を乗り出した。

「どこへ通知を送っている」

三枝は設定を開いた。

通知先。

ops-notify-archive

三枝は、指を止めた。

「ops-notify-archive……」

黒崎の顔が硬くなった。

「古い通知保管チャンネルだ」

山崎が聞いた。

「そのチャンネルは、現在の運用に使われていますか」

黒崎は首を横に振った。

「使っていないはずです。通知が多すぎて、昨年から新しいセキュリティ通知チャンネルに移行しました」

三枝は、チャンネルのメンバーを確認した。

黒崎。三枝。旧SOC連携ボット。NotifyBridge Bot。日向システムサービス旧連携アカウント。Aster Analytics実証通知アカウント。静岡レジリエンスマップ支援アカウント。外部デザイン会社通知アカウント。品質管理クラウド導入支援アカウント。

三枝は、声が出なかった。

外部の窓から来る通知が、古い保管チャンネルに集まっている。

そして、そのチャンネルには、契約終了済みの外部アカウントが複数残っている。

山崎が、静かに言った。

「通知の巣ですね」

三枝は、ホワイトボードにその言葉を書いた。

通知の巣

Blue Heronは、窓を一つずつ覗いていたのではない。

窓から飛んでくる通知が集まる巣を見ていた可能性がある。

午前八時四十七分。

久我真琴が、NotifyBridgeのログ確認に入った。

「まず、削除しないでください。止める前に保全です」

三枝は頷いた。

もう、その順番は体に入っていた。

現在状態。連携先。通知先チャンネル。メンバー。最終実行。外部アカウント。Webhook。APIトークン。ログ保持期間。

すべて保存する。

山崎は、判断記録を開いた。

「現時点の事実を整理します」

三枝は読み上げた。

「NotifyBridgeは、外部SaaS通知を社内チャンネルへ集約する目的で利用。契約更新停止後もnotifybridge-connector-prodが残存し、昨日二十三時四十二分に実行。通知先はops-notify-archive。チャンネルには、契約終了済み外部アカウントが複数残存」

山崎は頷いた。

「よいです。次に未確認事項」

三枝は続けた。

「Blue Heronがこのチャンネルを閲覧していたか。外部アカウントのどれかが侵害されていたか。NotifyBridge側のトークンが漏れていたか。通知内容に何が含まれていたか。通知経由で攻撃者が当社調査状況を把握したか」

久我が言った。

「あと、NotifyBridge経由で操作ができたかどうかも確認してください。通知を見るだけなのか、外部サービスへ戻って操作できるのか」

三枝は、権限一覧を開いた。

NotifyBridge Botには、複数の外部サービスに対する読み取り権限があった。一部は、コメント投稿権限。一部は、共有リンク変更通知の取得権限。品質管理クラウドでは、ステータス変更通知の購読権限。Asterモデル評価基盤では、実行通知の購読権限。

操作権限は限定的に見える。だが、通知を見るだけでも十分だった。

山崎が言った。

「通知内容を確認しましょう。何が通知されていましたか」

三枝は、ops-notify-archiveの過去ログを開いた。

通知が流れていた。

Aster Scenario Stress 04 viewed by user…Disaster Route Map permission changed…Map layer exported…Quality recall route list commented…Customer BCP proposal opened…DeviceActionRaw evidence table accessed…

三枝は、最後の一行で全身が冷たくなった。

DeviceActionRaw。

端末管理詳細ログの証跡テーブルに関する通知まで、古い通知チャンネルに流れていた。

久我が、低く言った。

「これで説明がつきます」

望月が聞いた。

「何がですか」

「Blue Heronが、こちらがDeviceActionRawに触れたことを知った理由です。証跡テーブルの閲覧通知が、このチャンネルに流れていた可能性があります」

黒崎が、机に手を置いた。

「証跡を見る行為が、相手に通知されていた」

山崎は、表情を変えずに言った。

「これも、観測窓です。ただし、個別の窓ではなく、窓の通知が集まる巣です」

三枝は、時系列表に入力した。

08:52　NotifyBridge旧通知集約コネクタnotifybridge-connector-prodが契約更新停止後も残存し、ops-notify-archiveへ通知を送信していたことを確認。同チャンネルには契約終了済み外部アカウントが複数残存。Aster閲覧、災害時配送ルートマップ変更、DeviceActionRawアクセス等の通知が流れていた可能性。Blue Heronが当社調査状況を観測した経路の有力候補。

保存。

会議室は静まり返っていた。

誰も叫ばなかった。

三か月前なら、怒号になっていただろう。

今は、全員が次に何をすべきかを知っている。

保全。権限確認。隔離。影響範囲。通知先削除。契約終了処理。再発防止。

午前九時二十分。

山崎は、NotifyBridgeに関する緊急対応方針をまとめた。

一　ops-notify-archiveの現在状態を保全二　チャンネルメンバー、外部アカウント、ボット、Webhookを保全三　過去九十日分の通知内容を保全四　契約終了済み外部アカウントを一時停止五　NotifyBridgeコネクタを保全後に隔離六　現行通知業務への影響を確認七　新通知チャンネルへの移行状況を確認八　Blue Heronメールとの時系列突合

黒崎が言った。

「すぐ止めたい」

久我は首を横に振った。

「保全してからです。ただし、長く待つのも危険です。通知内容のエクスポート、メンバー一覧、権限、トークンのハッシュ、実行ログを取ったら隔離します」

山崎が望月を見た。

「経営判断が必要です。NotifyBridgeコネクタを隔離すると、一部外部SaaS通知の自動集約が停止します。現行業務への影響は限定的と見られますが、品質管理や営業資料の通知の一部が止まる可能性があります」

望月は即答した。

「保全後に隔離してください。通知が止まる影響より、攻撃者に観測され続けるリスクの方が大きい」

山崎は確認した。

「判断理由は、攻撃者が旧通知集約チャンネルを通じて当社調査状況を観測していた可能性があり、継続稼働による二次被害・調査妨害リスクが高いため。よろしいですね」

「はい」

三枝は入力した。

09:24　NotifyBridge旧通知集約コネクタについて、過去通知・メンバー・権限・実行ログを保全後に隔離する判断。業務通知停止の影響を認識した上で、攻撃者観測経路遮断を優先。判断者：望月社長。

保存。

そして、保全作業が始まった。

午前十時五分。

ops-notify-archiveのメンバー一覧を見ていた三枝は、ひとつのアカウントで手を止めた。

hb-observer

説明欄は空白。所属なし。追加日、三週間前。

三枝は、声を低くした。

「不明アカウントがあります」

黒崎が画面を覗いた。

「hb-observer？」

久我が、すぐに言った。

「Heron Blue、かもしれませんね。逆順ですが」

三枝の背筋が冷えた。

hb。Blue Heron。

山崎が、すぐに言った。

「断定しません。現時点では、不明アカウントhb-observerが三週間前に追加された事実です」

三枝は頷き、入力した。

10:07　ops-notify-archiveに不明アカウントhb-observerを確認。追加日：三週間前。所属・説明なし。Blue Heronとの関連は未確認。証跡保全。

久我が聞いた。

「誰が追加したか分かりますか」

三枝は、監査ログを開いた。

追加者。

notifybridge-admin-old

三枝は、もう驚かなかった。

旧管理者アカウント。

NotifyBridge導入時の管理者。現在は使用していないはず。契約管理表には、更新停止済み。

黒崎が低く言った。

「また旧管理者」

山崎が言った。

「そのアカウントの認証情報、MFA、最終利用、管理責任者を確認します」

三枝は、ログをさらに追った。

notifybridge-admin-oldは、三週間前に複数回サインインしている。アクセス元は、国内クラウド。認証は成功。MFAは、登録済みの旧メール認証。

旧メール認証。

三枝は、設定を確認した。

MFAメール送信先。

ops-support@hinata-sys.example

日向システムサービスの旧サポートメールアドレス。

高瀬に確認する必要がある。

山崎は、すぐに日向システムサービスへ緊急確認を依頼した。

「notifybridge-admin-oldのMFAメール送信先が、日向システムサービス様の旧サポートメールになっています。このメールボックスの管理状態、現在の利用者、転送設定、三週間前の受信・承認履歴を保全してください」

高瀬は、画面越しに青ざめた。

「そのメールボックスは、今は使っていないはずです」

山崎は、静かに言った。

「“使っていないはず”は、状態ではありません。確認をお願いします。期限は一時間以内の一次回答です」

高瀬は頷いた。

「分かりました」

三枝は入力した。

10:16　hb-observer追加者はnotifybridge-admin-old。三週間前に同旧管理者アカウントでサインイン複数回。MFAメール送信先は日向システムサービス旧サポートメールops-support。日向社へメールボックス管理状態・転送設定・受信承認履歴の保全を要請。

保存。

通知の巣は、さらに別の巣につながっていた。

旧通知管理者。旧サポートメール。旧MFA。旧委託先。

終わったはずが、また開いている。

午前十時五十分。

Blue Heronからメールが届いた。

件名は、Nest。

本文は、短い。

Every window has a nest.Every nest has a watcher.

すべての窓には巣がある。すべての巣には見張りがいる。

その下には、ops-notify-archiveの通知一覧の一部が貼られていた。

Aster。地図サービス。DeviceActionRaw。品質管理クラウド。営業資料。

三枝は、唇を噛んだ。

「hb-observerが見ていた可能性がありますね」

久我は頷いた。

「可能性は高い。ただし、アカウント名だけでは実体は分かりません」

山崎が言った。

「保全してください。攻撃者が通知の巣を把握していることは、ほぼ明らかになりました」

望月が静かに言った。

「この巣を閉じます」

黒崎が答えた。

「保全後、隔離します。hb-observerとnotifybridge-admin-oldは即時停止します」

山崎が確認した。

「停止前に、ログと現在状態を保全してください。停止理由は、攻撃者が通知集約チャンネル内容を把握している可能性があり、不明アカウントhb-observerと旧管理者アカウントnotifybridge-admin-oldが関与している可能性があるため」

三枝は入力した。

10:52　不明差出人より件名“Nest”のメール受信。ops-notify-archive通知一覧の一部を提示。通知集約チャンネル内容を攻撃者が把握している可能性が高まる。不明アカウントhb-observerおよび旧管理者notifybridge-admin-oldの停止を保全後実施する判断。

保存。

保全後、黒崎が停止操作を行った。

hb-observer：Disablednotifybridge-admin-old：DisabledNotifyBridge connector：Quarantined

三枝は、画面を見つめた。

通知の巣が、一つ閉じた。

だが、巣の中に何が残っていたのかは、これから調べなければならない。

午前十一時四十分。

日向システムサービスから一次回答が届いた。

高瀬の顔は硬かった。

「ops-supportメールボックスですが、現在は廃止予定でした。しかし、完全削除はされていません。三週間前に、NotifyBridge関連のMFAメールが複数受信されています」

黒崎が言った。

「誰が承認した？」

高瀬は、目を伏せた。

「承認操作ログは、メール内リンクを経由しています。アクセス元は国内クラウド。弊社担当者による操作ではないと考えています」

久我が聞いた。

「メールボックスに転送設定は？」

高瀬は、さらに顔を硬くした。

「外部転送が設定されていました。転送先は、旧監視連携用のメールアドレスです」

「そのメールアドレスは誰が管理している？」

高瀬は答えづらそうにした。

「当時、ネストリンクとの夜間監視連携で使っていた共有メールです。現在の管理者は確認中です」

会議室の空気が、再び重くなる。

山崎が言った。

「つまり、NotifyBridge旧管理者アカウントのMFAメールが、日向システムサービスの廃止予定メールボックスへ届き、そこから旧監視連携メールへ転送されていた可能性がある」

高瀬は、深く頷いた。

「はい」

佐伯が、ネストリンク側からオンライン参加した。

「弊社でも、その旧監視連携メールを確認します。現在利用していない認識でしたが、保全します」

山崎は、すぐに確認した。

「旧監視連携メールの受信者、転送設定、アクセスログ、三週間前の閲覧履歴、MFAリンククリック履歴を保全してください。期限は二時間以内の一次回答」

佐伯は頷いた。

「対応します」

三枝は入力した。

11:43　日向社一次回答。ops-support旧メールボックスは完全削除されず、三週間前にNotifyBridge関連MFAメールを複数受信。外部転送設定により旧監視連携メールへ転送されていた可能性。日向担当者操作ではない旨一次回答。ネストリンクへ旧監視連携メールの保全・アクセス確認を要請。

三枝は、入力しながら思った。

これは、もう通知の巣だけではない。

巣から伸びる糸だ。

旧メール。転送。旧監視連携。MFA。外部アカウント。通知チャンネル。

攻撃者は、ログイン情報を盗んだだけではない。

会社と委託先が忘れた通知の流れを使っていた。

午後零時二十五分。

山崎は、通知の巣を図にした。

中心に、ops-notify-archive。

そこへ矢印が集まる。

Asterモデル評価基盤。災害時配送ルートマップ。品質管理クラウド。営業資料共有サービス。DeviceActionRaw証跡テーブル。電子契約。BIダッシュボード。

さらに、ops-notify-archiveにはメンバーがいる。

NotifyBridge Bot。hb-observer。notifybridge-admin-old。日向旧連携アカウント。Aster実証通知アカウント。静岡レジリエンスマップ支援アカウント。外部デザイン会社通知アカウント。品質管理クラウド導入支援アカウント。

その外側に、旧MFAメール。

日向ops-support。旧監視連携メール。ネストリンク監視用共有メール。

山崎は図を見て言った。

「これは、通知サプライチェーンです」

秋山が、聞き返した。

「通知サプライチェーン」

「はい。業務委託やクラウドサービスのサプライチェーンだけでなく、通知もサプライチェーンになっています。通知がどこからどこへ流れ、誰が見られ、契約終了後にどう閉じるか。これも管理対象です」

久我が頷いた。

「攻撃者は、通知サプライチェーンの古い節点を使った可能性があります」

望月が言った。

「また、新しい管理対象ですね」

山崎は答えた。

「はい。ただし、本質は同じです。つながりを説明できるようにすることです」

三枝は、未了事項台帳に追加した。

U-143　通知サプライチェーン管理未了

責任者。

三枝・秋山・黒崎・山崎行政書士事務所

期限。

七日以内に一次棚卸し

状態。

開始

保存。

通知にも、サプライチェーンがある。

三枝は、その言葉を噛みしめた。

午後一時三十分。

対策会議は、少しずつ冷静さを取り戻していた。

NotifyBridgeコネクタは隔離された。hb-observerと旧管理者アカウントは停止された。ops-notify-archiveは保全済み。日向とネストリンクは、旧メールボックスと転送経路を調査中。Aster、静岡レジリエンスマップ、品質管理クラウドにも通知先確認を依頼した。

だが、問題はまだ残っている。

通知チャンネルに何が流れていたのか。hb-observerがどこからログインしていたのか。旧MFAメールが誰に転送されていたのか。Blue Heronがいつから通知の巣を見ていたのか。そして、そこから何を学んだのか。

三枝は、ops-notify-archiveの過去ログを期間指定で開いた。

三週間前。

通知が連続している。

Aster Scenario Stress 04 executedDisaster Route Map layer modifiedold-wms-sync-03 authentication warningCustomer contact archive accessedEmergency maintenance bypass policy changedDevice action raw table queried

三枝は、その並びを見て、ぞっとした。

三週間前、攻撃者は複数の地図、アカウント、ログ、ポリシーを動かしていた。そして、それらの通知が一つのチャンネルに集まっていた。

Blue Heronは、自分で操作したものだけでなく、会社側の反応もここで見ていたのかもしれない。

久我が言った。

「通知の巣は、攻撃者にとって指揮所だった可能性があります」

黒崎が言った。

「通知を見るだけで？」

「はい。どの操作が成功したか、どのサービスが反応したか、誰が閲覧したか、誰が権限変更したかが分かる。攻撃者にとっては、十分なフィードバックです」

山崎が言った。

「本来、会社のための通知が、攻撃者のための状況報告になった」

会議室は沈黙した。

三枝は、その一文を入力した。

通知の巣は、攻撃者にとって状況報告チャンネルとして機能した可能性。

午後二時十五分。

Blue Heronから、新しいメールが届いた。

件名は、Command room。

指揮室。

本文は、三行。

You built a room for all alerts.You invited everyone.We only sat down.

あなたたちは、すべての通知のための部屋を作った。全員を招いた。我々は、ただ座っただけだ。

その下には、ops-notify-archiveのチャンネルヘッダー画像が貼られていた。

三枝は、静かに保全した。

怒りはあった。

だが、手順は揺れない。

山崎が言った。

「相手は、自分たちが通知チャンネルにいたことを示唆しています」

久我が頷いた。

「ただし、“hb-observerがBlue Heronである”とはまだ断定できません。攻撃者がチャンネル画像を持っていることは確認できます」

三枝は入力した。

14:15　不明差出人より件名“Command room”のメール受信。ops-notify-archiveを“すべての通知の部屋”と表現し、チャンネルヘッダー画像を提示。攻撃者が同通知チャンネル内容または画像を把握している可能性が高い。hb-observerとの同一性は未確認。

望月は、画面を見ながら言った。

「指揮室を、こちらが作ってしまった」

山崎は頷いた。

「はい。ただし、意図は正当でした。通知を集約し、見落としを減らすためです。問題は、招待者を閉じなかったこと、契約終了後の外部アカウントを残したこと、通知の機密性を評価しなかったことです」

黒崎が言った。

「通知を集約すること自体が悪いわけではない」

「はい」

山崎は答えた。

「便利な仕組みをやめるのではなく、管理する。これが再発防止です」

三枝は、少しだけ安心した。

事件のたびに、便利なものを捨てていくのでは、会社は動けなくなる。

地図も、窓も、通知も、必要だ。

必要だからこそ、鍵がいる。

午後三時。

山崎は、通知サプライチェーンの再設計案を示した。

一　通知チャンネル台帳チャンネル名、目的、通知元、通知先、メンバー、外部アカウント、所有者、保存期間を管理。

二　外部アカウント期限管理委託先、再委託先、外部制作会社、実証支援者の通知参加は期限付き。

三　通知内容分類公開可能、社内限定、機密、攻撃利用可能の四分類。

四　事故時通知隔離手順インシデント発生時、旧通知チャンネル、外部参加チャンネル、閲覧通知、Webhookを保全後隔離。

五　MFA通知先管理MFAメール、承認通知、旧メールボックス、転送設定を棚卸し。

六　通知ログ保全通知そのものを証跡として保存。誰に何が通知されたかを記録。

七　通知最小化必要な通知だけを送る。特に証跡テーブル、調査資料、業務地図の閲覧通知は限定。

秋山が言った。

「通知内容の分類、今まで全くしていませんでした」

三枝が頷いた。

「通知はただの通知だと思っていました」

久我が言った。

「通知には、行動のメタ情報があります。誰が、何に、いつ気づいたか。攻撃者にとっては重要です」

山崎は言った。

「通知は、会社の神経です」

大石が反応した。

「前に、顧客連絡先は神経だと言っていましたね」

「はい。通知は、神経の信号です。攻撃者がそこを見れば、会社がどこで痛みを感じたか分かります」

三枝は、その比喩を記録した。

通知＝会社の神経信号。

Blue Heronは、会社の神経を見ていた。

だから、反応が速かった。

午後四時二十分。

ネストリンクから、旧監視連携メールに関する一次回答が届いた。

佐伯の表情は硬い。

「旧監視連携メールは、現在の運用には使っていない認識でした。しかし、メールボックスは残存していました。三週間前、日向ops-supportから転送されたNotifyBridge MFAメールを受信しています」

久我が聞いた。

「そのメールを誰が閲覧したか」

佐伯は、画面を見ながら答えた。

「通常の担当者ではありません。アクセス元は国内クラウド。アカウントはmonitor-legacy-read」

黒崎が言った。

「また旧アカウントか」

佐伯は頷いた。

「はい。旧監視用の読み取り専用アカウントです。本来は廃止済みのはずでした」

山崎が静かに聞いた。

「MFAメール内のリンクはクリックされていますか」

佐伯は、数秒沈黙した。

「はい。クリック履歴があります」

会議室が静まった。

久我が言った。

「つまり、NotifyBridge旧管理者アカウントのMFA承認が、日向の旧メールからネストリンクの旧メールへ転送され、さらに旧読み取りアカウントからクリックされた可能性がある」

佐伯は、苦しそうに頷いた。

「現時点では、その可能性があります」

山崎は言った。

「これで通知の巣への侵入経路が一つ見えてきました」

三枝は入力した。

16:24　ネストリンク一次回答。旧監視連携メールボックスが残存し、三週間前に日向ops-supportから転送されたNotifyBridge MFAメールを受信。monitor-legacy-readによる閲覧およびMFAリンククリック履歴あり。NotifyBridge旧管理者アカウントへの侵入経路候補。

保存。

三枝は、画面を見つめた。

誰かがMFAを突破したのではない。

MFA通知が、古いメールの転送経路を流れ、古い読み取りアカウントからクリックされた。

MFAはあった。

だが、通知先が未了だった。

山崎が、低く言った。

「多要素認証も、通知先が眠っていれば眠った鍵になります」

三枝は、その言葉を記録した。

午後五時十分。

久我が、経路を図にした。

NotifyBridge旧管理者アカウント↓ MFAメール日向ops-support旧メールボックス↓ 外部転送ネストリンク旧監視連携メール↓ 閲覧monitor-legacy-read↓ MFAリンククリックNotifyBridge管理者ログイン成功↓ hb-observer追加ops-notify-archive閲覧

会議室は静かだった。

線は、複数の会社をまたいでいた。

駿河ML。日向システムサービス。ネストリンク。NotifyBridge。

どこか一社の中だけでは完結しない。

山崎が言った。

「これは、典型的な責任分界の空白です。MFA自体は有効。メールボックスも各社に分散。転送設定も過去の運用。誰か一人が全体を見ていない」

望月が言った。

「そして、攻撃者は全体を見ていた」

「はい」

山崎は答えた。

三枝は、図を見ながら思った。

攻撃者は、会社のシステムよりも、会社同士のつながりをよく見ている。

旧メール。転送。読み取りアカウント。通知チャンネル。

それは、契約書にはほとんど書かれていない。

だが、現実には会社をつないでいる。

山崎は言った。

「通知サプライチェーンを、責任分界表に追加します」

秋山が頷いた。

「契約にも入れます。MFA通知先、旧メールボックス、転送禁止、契約終了時の削除確認」

高瀬も、画面越しに言った。

「日向側でも、旧メールボックスを全件棚卸しします」

佐伯も言った。

「ネストリンク側も同様に行います」

望月は、二人を見た。

「お願いします。責任整理は続けますが、今は同じ経路を二度使わせないことを優先します」

山崎は、それを記録した。

午後六時三十分。

Blue Heronから、またメールが来た。

件名は、MFA works。

本文は、皮肉だった。

MFA worked perfectly.It notified the wrong ghost.

MFAは完璧に機能した。ただ、間違った亡霊に通知しただけだ。

三枝は、保全した。

もう、この種の挑発に心を揺らす時間は短くなっていた。

久我が言った。

「痛いところを突いていますね」

山崎は頷いた。

「はい。だから、これを再発防止の言葉に変えます」

ホワイトボードに書く。

MFA通知先も資産である。

山崎は続けた。

「MFAを導入した、で終わりではありません。誰に通知されるのか。退職者や旧メールに飛ばないか。共有メールや転送先に依存していないか。契約終了後に通知先が残っていないか。そこまで管理する必要があります」

黒崎が言った。

「MFA通知先台帳、作ります」

三枝は頷いた。

「特権アカウントから優先します」

秋山が言った。

「委託先契約にも、MFA通知先変更時の報告義務を入れます」

山崎は、未了事項台帳に追加した。

U-144　MFA通知先台帳未整備

責任者。

黒崎・三枝・秋山

期限。

七日以内に特権・委託先分の初版

状態。

開始

三枝は、その行を見て思った。

MFAは、守りの象徴だった。

だが、その通知先が眠っていれば、攻撃者の入口になる。

セキュリティ対策そのものも、未了になることがある。

午後七時四十五分。

取締役会向けの緊急更新資料が作られた。

タイトルは、通知サプライチェーンに関する暫定報告。

構成は、山崎らしく明確だった。

一　発見された事実旧通知集約チャンネル、契約終了済み外部アカウント、不明アカウントhb-observer、旧管理者アカウント、MFAメール転送経路。

二　想定される影響当社調査状況、証跡閲覧、外部地図確認、AI実証確認、品質クラウド確認が攻撃者に観測された可能性。

三　実施済み対応チャンネル保全、コネクタ隔離、不明アカウント停止、旧管理者停止、MFAメール経路保全、委託先・再委託先確認。

四　未確認事項hb-observerの実体、攻撃者との関連、通知閲覧範囲、旧メール転送経路の管理者、同様経路の有無。

五　再発防止策通知チャンネル台帳、MFA通知先台帳、外部アカウント期限管理、契約終了時通知経路削除確認、事故時通知隔離手順。

望月は資料を読み、静かに言った。

「この資料も、かなり厳しい内容です」

山崎は頷いた。

「はい」

「ですが、説明できます」

「はい。証跡があります」

三枝は、そのやり取りを聞いていた。

三か月前の会社なら、こういう資料は隠したかもしれない。経営に出すには怖すぎる。委託先との関係が悪くなる。自社の管理不備が見える。そう思って。

今は違う。

厳しい内容ほど、経営に出す。なぜなら、経営が見なければ閉じられないから。

午後八時半。

望月は、三枝に言った。

「今回のNotifyBridgeの件、あなたが気づかなければ見落としていました」

三枝は、首を横に振った。

「外部共有資料の通知先を見ようと思っただけです」

「それが大事です」

望月は言った。

「三か月前、当社はアラートを見ませんでした。今回は、通知の違和感を見ました」

三枝は、少し黙った。

「山崎先生に、何度も言われましたから。何が、どこへ、誰に届くのかを説明しろと」

山崎は、少しだけ表情を緩めた。

「通知も説明の一部です」

三枝は頷いた。

「はい。通知は、会社が自分自身にする説明なんですね」

山崎は、静かに言った。

「とても良い表現です」

三枝は、自分のノートに書いた。

通知は、会社が自分自身にする説明。だから、誤った相手に通知してはいけない。

保存。

午後九時五十分。

その夜最後のBlue Heronのメールが届いた。

件名は、Quiet now。

本文は、これまでになく短かった。

Your nest is quiet.

あなたたちの巣は静かになった。

三枝は、保全した。

NotifyBridgeは隔離された。hb-observerは停止された。旧管理者は停止された。MFA転送経路は保全され、封じ込めが進んでいる。

少なくとも、この巣は静かになった。

久我が言った。

「この経路は閉じたと見てよさそうです。ただし、同じ型の巣が他にあるかは確認が必要です」

山崎が頷いた。

「通知サプライチェーン棚卸しを続けます」

望月は言った。

「一つ閉じましたね」

黒崎が答えた。

「はい。閉じた証跡もあります」

三枝は、未了事項台帳を開いた。

U-143　通知サプライチェーン管理未了

状態を更新する。

NotifyBridge旧通知集約経路を保全後隔離。hb-observer、notifybridge-admin-old停止。MFA転送経路を特定し、日向・ネストリンクで封じ込め中。全社棚卸し継続。

状態。

進行中

完了ではない。

だが、一つの巣は静かになった。

三枝は保存した。

午後十一時十五分。

会議室の灯りは落ち着いていた。

三枝は、ホワイトボードを見た。

通知の巣観測窓通知サプライチェーンMFA通知先も資産である

また、言葉が増えた。

会社は、言葉を得るたびに少しだけ守れる範囲を広げていく。

山崎が、帰り支度をしながら言った。

「三枝さん。今日は、かなり重要な日でした」

「通知の巣を見つけたからですか」

「はい。それだけではありません」

山崎は、少し間を置いた。

「会社が、自分に届く通知を疑えるようになったからです」

三枝は、山崎を見た。

「自分に届く通知を疑う」

「はい。セキュリティでは、外から来る攻撃を疑うことは比較的分かりやすい。しかし、社内に届く通知、正規のメール、便利な連携、古いチャンネルは疑われにくい。そこを見られたのは大きいです」

三枝は頷いた。

通知は、信頼される。だからこそ、危険だった。

山崎は続けた。

「ただし、疑いすぎると業務は止まります。だから、疑う基準と閉じる手順が必要です」

「また線ですね」

「はい。責任分界線です」

三枝は、少し笑った。

すべては、そこに戻ってくる。

誰が通知を持つのか。誰が見るのか。誰が閉じるのか。誰が説明するのか。

線がなければ、巣は誰のものでもなくなる。

そして、誰のものでもない巣に、攻撃者が座る。

午前零時。

新しい日付になった。

三枝は、時系列表の最後に入力した。

00:00　NotifyBridge旧通知集約チャンネルops-notify-archiveを保全後隔離。不明アカウントhb-observer、旧管理者notifybridge-admin-oldを停止。旧MFAメール転送経路として日向ops-support、ネストリンク旧監視連携メール、monitor-legacy-readを特定。通知サプライチェーンおよびMFA通知先を新たな統制対象とし、全社棚卸しを開始。

保存。

画面右下。

保存しました。

三枝は、しばらくその文字を見つめていた。

保存した。

通知の巣を見つけた。巣を保全した。巣を閉じた。閉じたことを記録した。

ログは眠らない。地図も眠らない。窓も眠らない。通知も眠らない。

そして、通知の向こうには、また別の未了がある。

三枝は、ノートに最後の一文を書いた。

通知を信じる前に、通知先を信じられるか確認する。

保存。

第三会議室の外では、夜勤の倉庫が静かに動いていた。

ラベルが出る。荷物が流れる。端末が記録する。通知が届く。

今度は、その通知が誰に届くのかも、会社は知っている。