第39章 二つ目の手
- 山崎行政書士事務所
- 5月7日
- 読了時間: 18分
午前七時四十八分。
県立東駿河医療センターからの受領確認メールは、いつもどおりの形式で届いた。
件名。
定温便 SK-CC-88421 受領確認完了
本文。
本日受領分について、現物確認、温度確認、受領部署確認を完了しました。当院側では本件配送に関する追加照会は不要です。
差出人は、病院の物流管理課の共有アドレス。
署名も、いつものものに見える。
昨日、偽ePODが作られた定温便。現物が届く前に受領済みとされた便。病院側がすぐに「現物がない」と気づき、会社を救った便。
その病院から、今度は「追加照会は不要」とメールが届いた。
三枝涼真は、そのメールを見て、胸の奥が冷たくなった。
おかしい。
昨日の病院側の対応は、慎重だった。物流管理課長は、三点照合を評価していた。「差異があれば直ちに連絡する」と言っていた。
それなのに、今朝いきなり「追加照会は不要」と送ってくるだろうか。
三枝は、メールを開いたまま、すぐに電話を取った。
登録済みの病院代表番号。昨日更新した取引先確認ルールどおり、メール本文の番号には折り返さない。
数回のコール。
物流管理課につながった。
「駿河メディカルロジスティクスの三枝です。今朝、SK-CC-88421について受領確認完了、追加照会不要というメールをいただいたようなのですが」
相手の課員は、少し驚いた声で言った。
「そのようなメールは出していません」
三枝は、目を閉じた。
やはり。
「物流管理課長様は、いらっしゃいますか」
数十秒後、昨日の課長が電話に出た。
「三枝さん、こちらからそのようなメールは送っていません。昨日の件は、当院内でも確認を続けています。追加照会不要とは考えていません」
三枝は、静かに答えた。
「ありがとうございます。偽の受領確認メールの可能性があります。こちらで保全します」
電話を切ると、第三会議室の空気が変わっていた。
黒崎課長が言った。
「今度は、受領側の手か」
三枝は頷いた。
「はい。病院側を名乗る確認メールです」
山崎行政書士事務所の山崎が、ホワイトボードの前に立った。
黒いペンで書く。
二つ目の手
その下に、もう一行。
受領側確認 ≠ メール一通
三枝は、その言葉を見た。
昨日、会社は学んだ。
配送には二つの手が必要だ。
配送側の証跡。受領側の確認。
攻撃者は、片方の手を使ったと言った。
そして今、もう片方の手を作ろうとしている。
三枝は時系列表を開いた。
07:48 県立東駿河医療センター物流管理課名義で、SK-CC-88421について“受領確認完了・追加照会不要”とするメールを受信。登録済み代表番号経由で同院物流管理課へ確認したところ、同メール送信を否定。受領側確認メールなりすまし可能性。
保存。
画面右下。
保存しました。
午前八時十五分。
メールヘッダーの確認が始まった。
差出人表示は、県立東駿河医療センター物流管理課。
しかし、認証結果は微妙だった。
SPF。
pass。
DKIM。
fail。
DMARC。
quarantine。
送信経路は、病院の正規メール基盤ではなく、外部のメール配信サービスを経由していた。
久我真琴が、オンライン画面で言った。
「SPFだけ通っていますが、DKIMが失敗しています。送信元ドメインの一部設定が悪用されたか、病院関連の外部配信サービスを経由している可能性があります」
秋山法務総務部長が言った。
「病院側へヘッダーを共有してよいですか」
山崎が答えた。
「はい。ただし、個人情報や攻撃者メール本文の転送方法に注意してください。専用アップロード経路で、ヘッダーと受信時刻、当社確認結果を共有します」
三枝は、メールを保全し、ヘッダーを抽出した。
件名。受信時刻。差出人表示。Return-Path。Receivedチェーン。SPF、DKIM、DMARC。添付なし。リンクなし。本文。
山崎が言った。
「病院側との共同確認記録を作りましょう」
三枝は、新しいシートを開いた。
取引先確認記録
列。
取引先名対象事象当社受信内容登録済み連絡先での確認結果取引先側送信否定/肯定共有証跡今後の確認手順
入力する。
県立東駿河医療センターSK-CC-88421偽受領確認メール追加照会不要とするメール受信登録済み代表番号経由で物流管理課長確認同院送信否定ヘッダー保全、専用経路で共有予定
山崎は頷いた。
「良いです。取引先の確認も証跡にします」
望月社長が、画面を見ながら言った。
「昨日は、病院が現物確認してくれたことで気づけました。今日は、こちらが病院へ確認して気づいた」
山崎は答えた。
「二つの手は、互いに確認し合う必要があります」
三枝はノートに書いた。
二つの手は、握手だけでなく、互いの本人確認が必要。
午前八時四十二分。
Blue Heronからメールが届いた。
件名は、Second hand。
本文は、短かった。
You wanted two hands.So we made another.
二つの手が欲しいと言った。だから、もう一つ作った。
その下には、偽受領確認メールの本文が貼られていた。
三枝は、保全した。
大石が画面越しに低く言った。
「向こうは、病院側の確認まで偽装する気か」
久我が頷いた。
「はい。昨日の三点照合の防御に対して、受領側の確認経路を攻撃しています」
山崎が言った。
「これは重要です。証跡を増やすと、攻撃者はその証跡の別側面を狙います。配送側証跡を補うために受領側確認を入れた。次に、受領側確認が偽装される」
望月は、静かに言った。
「なら、確認の確認が必要になる」
山崎は頷いた。
「はい。ただし、無限に増やすのではありません。登録済み経路、相互確認番号、双方ログ、現物確認。この組み合わせで強くします」
三枝は入力した。
08:42 不明差出人より件名“Second hand”のメール受信。偽受領確認メール本文を提示。“二つ目の手を作った”と記載。攻撃者が受領側確認経路を偽装し、三点照合を迂回しようとしている可能性。証跡保全。
保存。
午前九時十分。
県立東駿河医療センターとの共同確認会議が始まった。
相手側は、物流管理課長、情報システム担当、総務担当の三名。駿河ML側は、望月、営業部長、大石、三枝、秋山、山崎、久我。
病院側の情報システム担当が、ヘッダーを見ながら言った。
「このメールは、当院の通常メール基盤からは出ていません。ただ、Return-Pathが当院の外部広報配信サービスに似ています」
山崎が聞いた。
「その外部配信サービスは、物流管理課でも使いますか」
病院側は首を横に振った。
「いいえ。広報課が使います。医療機関向けのお知らせや地域連携メールです」
三枝は、嫌な予感を覚えた。
広報配信サービス。物流管理課名義。受領確認メール。
病院側の総務担当が言った。
「広報配信サービスには、過去の災害訓練時に、物流関連の配信テンプレートを作ったことがあります。駿河MLさんとの災害時物流訓練の時です」
大石が顔を上げた。
「災害時物流訓練……」
山崎が、静かに言った。
「また訓練ですね」
病院側情報システム担当が、ログを確認した。
「外部配信サービス上に、logistics-notice-templateというテンプレートがあります。権限者に、外部訓練支援会社のアカウントが残っています」
三枝は、すぐに記録した。
09:16 県立東駿河医療センター共同確認。偽受領確認メールは同院通常メール基盤からではなく、外部広報配信サービスに類似した経路。同サービスに災害時物流訓練用logistics-notice-templateが残存し、外部訓練支援会社アカウントが権限者として残存している可能性。
病院側情報システム担当が続けた。
「この外部訓練支援会社は、東海レジリエンストレーニングです」
会議室の空気が止まった。
昨日、SafetyBoardの偽訓練通知に使われた会社。
同じ外部訓練支援会社のアカウントが、病院側の広報配信サービスにも残っている。
山崎が言った。
「訓練サプライチェーンが、取引先側にもまたがっています」
久我が頷いた。
「攻撃者は、同じ訓練支援会社の残存アカウントを、駿河ML側と病院側の両方で使っている可能性があります」
望月は、病院側へ向けて言った。
「当社側でも、東海レジリエンストレーニングの旧アカウントを昨日停止しています。情報を共有します」
病院側の物流管理課長は、厳しい表情で頷いた。
「当院側でも、すぐに当該アカウントを停止します」
午前九時五十分。
病院側は、外部広報配信サービスの該当アカウントを保全後に停止した。
ログによると、偽受領確認メールは午前七時四十六分に作成され、七時四十八分に送信されていた。
送信者アカウント。
drill-logistics-coordinator
東海レジリエンストレーニングの訓練支援アカウント。
MFA通知先。
同社旧訓練メール。
クリック元。
不審クラウドレンジ。
テンプレート。
logistics_receipt_followup
本文の元は、災害時物流訓練後の確認メールだった。
本来の文面。
訓練配送について、受領確認を完了しました。追加確認事項があればご連絡ください。
攻撃者は、それを変えていた。
本日受領分について、現物確認、温度確認、受領部署確認を完了しました。追加照会は不要です。
三枝は、胸の奥が冷たくなった。
訓練の言葉が、また本番の嘘に変えられている。
山崎が言った。
「訓練テンプレートが、受領確認偽装に使われた可能性が高い」
病院側の総務担当は、苦い顔で言った。
「当院側の未了でもあります」
山崎は、静かに答えた。
「互いに責任整理は必要です。ただ、今は同じ攻撃を受けている関係者として、証跡保全と確認手順の統一を優先しましょう」
三枝は入力した。
09:55 病院側ログ確認。偽受領確認メールは07:46作成、07:48送信。送信者は東海レジリエンストレーニング訓練支援アカウントdrill-logistics-coordinator。MFA通知先は旧訓練メール、クリック元は不審クラウドレンジ。logistics_receipt_followup訓練テンプレートが改変利用された可能性。病院側は当該アカウントを保全後停止。
保存。
午前十時二十分。
Blue Heronからメールが届いた。
件名は、Training travels。
本文は、短かった。
Your drills traveled better than your boxes.
あなたたちの訓練は、箱よりうまく運ばれた。
三枝は、保全した。
山崎が言った。
「攻撃者は、訓練サプライチェーンが複数組織をまたいでいたことを利用しています」
久我が頷いた。
「駿河ML側のSafetyBoard、病院側の広報配信サービス、災害時物流訓練テンプレート、外部訓練支援会社。全部つながっています」
大石が言った。
「訓練でつながった関係が、攻撃にもつながった」
山崎は、ホワイトボードに書いた。
共同訓練の終了管理
その下に、続ける。
自社だけでは閉じられない。
望月が言った。
「共同訓練の後、当社だけでアカウントを消しても、病院側に残れば攻撃される」
山崎は頷いた。
「はい。共同訓練には、共同終了証明が必要です」
三枝は、未了事項台帳に追加した。
U-168 取引先共同訓練サプライチェーン終了管理未整備
責任者。
大石・秋山・三枝・山崎行政書士事務所
関係者。
県立東駿河医療センター、東海レジリエンストレーニング
期限。
十四日以内に共同終了証明案
状態。
開始
時系列表にも入力する。
10:20 不明差出人より件名“Training travels”のメール受信。共同訓練テンプレート・外部訓練支援アカウントが組織をまたいで悪用されたことを示唆。共同訓練の終了管理を新たな統制対象とする。
保存。
午前十一時。
県立東駿河医療センターと、共同確認プロトコルの作成が始まった。
山崎が、両社に向けて言った。
「受領確認は、どちらか一方の通知では成立しないことにしましょう」
病院側物流管理課長が頷いた。
「当院も同意します」
山崎は、画面に文案を出した。
重要配送に関する相互確認プロトコル
一 受領完了は、駿河ML側ePOD、配送員到着記録、病院側現物確認、温度確認、受領部署確認の突合で成立する。
二 受領確認メールは、補助的連絡であり、単独では受領完了根拠としない。
三 重要配送については、相互確認番号を発行し、両社の登録済み窓口で照合する。
四 予定外の“追加照会不要”“確認不要”“受領済み”通知は、登録済み連絡先で確認する。
五 共同訓練後は、双方で外部支援アカウント、訓練テンプレート、通知先、配信サービス権限を削除し、共同終了確認書を作成する。
六 偽通知・偽受領・偽復帰指示が疑われる場合、双方で証跡を保全し、相互に共有する。
病院側情報システム担当が言った。
「当院内でも、広報配信サービスと物流管理課の権限を分けます。物流確認メールを広報配信サービスで出す運用はやめます」
大石が言った。
「当社側も、LogiProofと営業メールを分けます。受領完了はシステムだけでなく、重要配送では病院側確認番号を見ます」
望月は言った。
「このプロトコルを、他の主要取引先にも展開しましょう」
山崎は頷いた。
「はい。ただし、相手ごとの負担も考え、重要配送から段階的に」
三枝は入力した。
11:08 県立東駿河医療センターと重要配送相互確認プロトコルを作成開始。ePOD、配送員到着、病院側現物確認、温度確認、受領部署確認、相互確認番号、登録済み連絡先確認を組み合わせる方針。共同訓練後の外部支援アカウント・テンプレート・通知先削除を共同終了確認書に含める。
保存。
午後零時十五分。
東海レジリエンストレーニングから追加回答が届いた。
同社の旧訓練メールは、駿河ML、県立東駿河医療センター、複数の医療機関との災害時物流訓練で使われていた。複数組織のSafetyBoard、広報配信サービス、地図共有、物流訓練テンプレートに同社支援アカウントが残っている可能性がある。同社側でも全件棚卸しを開始した。
三枝は、画面を見て言った。
「これは、かなり広がる可能性があります」
久我が頷いた。
「共同訓練サプライチェーンです。単独企業のインシデントから、地域医療物流の訓練基盤に広がっています」
秋山が言った。
「関係医療機関への注意喚起が必要ですね」
山崎は慎重に言った。
「必要です。ただし、過度に不安を広げないように。内容は、共同訓練支援アカウントやテンプレートの棚卸し、予定外通知の確認、登録済み連絡先への照会を促すものにします」
望月が頷いた。
「当社から、共同訓練参加先へ連絡します」
三枝は入力した。
12:18 東海レジリエンストレーニング追加回答。同社旧訓練メール・支援アカウントは複数医療機関との災害時物流訓練で使用され、複数組織のSafetyBoard、広報配信、地図共有、物流訓練テンプレートに残存可能性。同社で全件棚卸し開始。共同訓練参加先への注意喚起を検討。
保存。
午後一時二十分。
Blue Heronからメールが届いた。
件名は、Regional exercise。
本文は、短かった。
A region rehearses together.A region forgets together.
地域は一緒に訓練する。地域は一緒に忘れる。
三枝は、保全した。
その言葉は、かなり重かった。
駿河MLだけの問題ではない。病院だけの問題でもない。訓練会社だけの問題でもない。
地域の災害対応のために作ったつながり。それが、地域全体の未了になっている。
山崎が言った。
「地域連携の終了管理です」
望月が頷いた。
「当社だけで閉じても、足りない」
「はい」
山崎は続けた。
「しかし、当社から始めることはできます。共同訓練の後始末まで含めたプロトコルを提案する」
大石が言った。
「現場としては、共同訓練は必要です。災害時に病院便を止めないためには、訓練しないわけにはいきません」
山崎は頷いた。
「訓練をやめるのではありません。終わらせ方まで訓練するのです」
三枝は、時系列表に入力した。
13:20 不明差出人より件名“Regional exercise”のメール受信。地域災害物流訓練に伴う複数組織横断の未了を示唆。“地域は一緒に訓練し、一緒に忘れる”と記載。対応方針:共同訓練を継続しつつ、共同終了管理・共同終了確認書を導入。
保存。
午後二時。
主要取引先向けの注意喚起が作成された。
山崎が文面を整えた。
共同訓練・受領確認メールに関する注意喚起
当社または外部訓練支援会社を名乗る通知、受領確認、追加照会不要、訓練案内、配送変更案内を受け取った場合、登録済み連絡先で確認してください。
過去の災害時物流訓練で利用した外部支援アカウント、通知テンプレート、広報配信サービス、地図共有、安否確認システムについて、契約終了後の権限が残っていないかご確認ください。
重要配送について、当社はePOD単独ではなく、現物確認、温度確認、受領部署確認、相互確認番号を組み合わせた確認を順次導入します。
営業部長が言った。
「取引先に確認を求める内容ですね」
山崎は頷いた。
「はい。ただし、責任を押し付けるものではなく、相互防御です」
望月が文面を読んだ。
「相互防御。その言葉を入れましょう」
山崎は、文末に追加した。
本件は、当社単独ではなく、物流に関わる各組織が互いの確認経路を守るための相互防御として取り組むものです。
三枝は、それを見て頷いた。
相互防御。
二つの手は、互いに守らなければならない。
午後三時三十分。
県立東駿河医療センターとの共同テストが行われた。
対象は、テスト配送ID。
駿河ML側が、ePODを作成。病院側が、現物確認。相互確認番号を入力。受領部署確認。温度ログ添付。双方の確認ログに同じ確認番号が残る。
次に、偽メールテスト。
攻撃者風の「追加照会不要」メールを訓練として投げる。
病院側は、登録済み連絡先で照会。駿河ML側は、送信否定。受領完了にはしない。
テスト結果。
成功。
大石が言った。
「現場でも分かりやすいです。確認番号がない受領確認は、重要配送では完了にしない」
病院側物流管理課長も言った。
「当院側でも、物流管理課以外から来た受領関連メールは、登録窓口で確認します」
山崎が、記録を作成した。
相互確認プロトコル初回テスト成功
三枝は入力した。
15:36 県立東駿河医療センターと重要配送相互確認プロトコルの初回テストを実施。ePOD、現物確認、温度ログ、受領部署確認、相互確認番号を双方で記録。偽“追加照会不要”メール訓練でも登録済み連絡先確認により受領完了扱いせず。テスト成功。
保存。
午後四時二十分。
Blue Heronからメールが届いた。
件名は、Handshake。
本文は、短い。
Now the hands check each other.Annoying.
今度は手同士が互いを確認するのか。厄介だ。
三枝は、保全しながら少しだけ笑った。
「厄介らしいです」
病院側物流管理課長も、オンラインのまま少し笑った。
「それはよかった」
望月が言った。
「取引先と一緒に防御できたのは大きいですね」
山崎は頷いた。
「はい。相互確認が機能しました」
三枝は入力した。
16:20 不明差出人より件名“Handshake”のメール受信。相互確認プロトコル初回テストに反応した可能性。“手同士が互いを確認する”と記載。証跡保全。
保存。
午後五時半。
共同訓練終了確認書のひな形ができた。
タイトル。
共同訓練終了確認書
項目。
訓練名参加組織外部支援会社使用システム訓練アカウント一覧通知テンプレート一覧地図・資料共有先安否確認・受領確認・復帰指示テンプレート外部配信サービス権限アーカイブ保存先削除・停止・権限剥奪確認残す記録削除する記録次回訓練への引継ぎ事項双方確認者
山崎は言った。
「訓練は、終わらせるところまでが訓練です」
県立東駿河医療センターの情報システム担当が頷いた。
「当院でも採用したいです」
望月が言った。
「共同で使いましょう。山崎先生、支援をお願いします」
山崎は頷いた。
「もちろんです。山崎行政書士事務所として、共同訓練の終了管理、委任、通知、テンプレート、証跡の整理を支援します」
三枝は、そのひな形を見て思った。
事件は、会社の中から始まった。
だが、今は取引先と一緒に、新しい手順を作っている。
攻撃者がつながりを使うなら、会社もつながりで守る。
ただし、今度は終わらせ方まで決めて。
午後六時四十五分。
Blue Heronから、その日最後のメールが届いた。
件名は、Community。
本文は、一行。
Communities are slow to patch.
共同体は、修正が遅い。
三枝は、保全した。
望月は、画面を見て言った。
「遅いかもしれません」
山崎が答えた。
「はい。でも、一度直れば強いです」
病院側物流管理課長も言った。
「当院も、他の医療機関へ共有します。地域医療物流で同じことが起きないように」
大石が頷いた。
「現場も協力します」
久我が言った。
「攻撃者は、共同体の未了を狙いました。防御側も、共同体で閉じるしかありません」
三枝は入力した。
18:45 不明差出人より件名“Community”のメール受信。共同体は修正が遅いと記載。対応方針:重要配送相互確認プロトコル、共同訓練終了確認書、外部訓練支援アカウント棚卸しを主要取引先・関係医療機関へ段階展開。
保存。
午後八時。
その日の最終会議で、山崎はまとめた。
ホワイトボードには、今日の言葉が並んでいる。
二つ目の手受領側確認 ≠ メール一通訓練サプライチェーンが取引先側にもまたがる共同訓練の終了管理相互防御
山崎は言った。
「今日、攻撃者は受領側の確認を偽装しました。配送側証跡だけでなく、受領側確認も攻撃対象になりました」
望月が頷いた。
「だから、二つの手を互いに確認させる」
「はい」
病院側物流管理課長は、オンラインで言った。
「当院も、駿河MLさんに確認します。駿河MLさんも、当院に確認してください」
大石が言った。
「現場も、確認されることを嫌がらないようにします」
山崎は、静かに言った。
「確認されることは、不信ではありません。相互防御です」
三枝は、その言葉を記録した。
確認は、不信ではなく相互防御。
午後十時。
三枝は、一人で共同確認プロトコルのログを見ていた。
テスト配送ID。ePOD。温度ログ。病院側確認番号。駿河ML側確認番号。登録済み連絡先。偽メール訓練。
ログは、きれいにつながっていた。
片方の手だけではない。
二つの手が、互いに確かめている。
三枝は、自分のノートに書いた。
相手を信じるために、相手と確認する。確認は、信頼の敵ではない。信頼の形である。
保存。
山崎が、背後から言った。
「今日の結論ですね」
三枝は振り返った。
「最近、先生が見ている前提で書いています」
山崎は少し笑った。
「その方が、説明できるメモになります」
三枝も笑った。
疲れている。だが、今日の疲れは、少し違った。
自社だけで守るのではなく、取引先と一緒に守る方法が見えたからだ。
午前零時。
三枝は、時系列表の最後に入力した。
00:00 県立東駿河医療センター名義の偽受領確認メールを確認。病院側は登録済み連絡先で送信否定。共同確認により、同院外部広報配信サービス上の災害時物流訓練テンプレートおよび東海レジリエンストレーニング訓練支援アカウントが悪用された可能性を確認。重要配送相互確認プロトコル、相互確認番号、共同訓練終了確認書を作成し、初回テスト成功。
保存。
画面右下。
保存しました。
三枝は、自分のメモにも一行追加した。
配送には二つの手がいる。信頼には、二つの手の確認がいる。
保存。
第三会議室の外では、夜の倉庫が静かに動いていた。
荷物は出る。病院で受け取られる。受領書が出る。確認番号が残る。
一方の手だけでは、もう完了しない。
二つの手がそろい、互いに確かめる。
それが、次の物流の防御だった。
コメント