午前七時五十分。

三枝涼真は、確認済み申し送り表を開いた。

昨夜、会社は申し送りを作り直した。

自動要約ではなく、人間が確認する申し送り。

現場事実。システム事実。未確認事項。継続対応。責任部署。判断責任者。次回確認時刻。受け手確認。

それぞれを明記し、夜から朝へ渡す。

東側第二定温庫の件も、今度は正しく渡された。

E2-A制御リレー故障。E2-B高負荷。対象資材は隣接庫へ移送済み。温度逸脱なし。品質管理部が使用可判定済み。施設管理会社のMFA経路と当直不正変更は調査継続。部品交換は本日午前。次回確認時刻は十時。

三枝は、その表を見ながら少しだけ安心していた。

未了は隠れていない。責任部署もある。判断責任者もある。次回確認時刻もある。

その右端に、新しい列がある。

受け手確認

そこには、緑色のチェックが並んでいた。

倉庫部。品質管理部。情報システム課。法務総務部。営業部。経営。

すべて、確認済み。

三枝は、画面を見たまま、ふと違和感を覚えた。

早すぎる。

確認済みの時刻を見る。

07:31:0207:31:0307:31:0307:31:0407:31:04

ほぼ同時だった。

しかも、品質管理部長は、七時三十一分にはまだ朝の現場確認に出ていたはずだ。大石倉庫部長も、現場巡回中だった。

三枝は、確認ログを開いた。

受け手確認方式。

ConfirmLink

メールまたはチャットで届く確認リンクを押すと、申し送りを確認済みにする仕組み。

確認者。

品質管理部長。大石。黒崎。秋山。営業部長。

IPアドレス。

すべて同じ。

User-Agent。

同じ。

アクセス元。

社内ネットワークではない。国内クラウド事業者。

三枝は、椅子から立ち上がった。

「課長」

黒崎課長が振り向いた。

「何だ」

「申し送りの受け手確認が、ほぼ同時に押されています。しかも、全員同じ外部クラウドIPです」

黒崎の顔が変わった。

「本人が押していない可能性があるのか」

「はい」

その時、山崎行政書士事務所の山崎が会議室に入ってきた。

三枝は、画面を指した。

「先生。今度は、既読です」

山崎は、ログを見た。

そして、ホワイトボードに黒いペンで書いた。

既読の罠

その下に、もう一行。

確認済み ≠ 理解済み

三枝は、その文字を見た。

また、ステータスの嘘だった。

通知済み。Ack済み。Resolved。In Progress。Completed。そして、確認済み。

会社はステータスで動く。攻撃者は、そのステータスを狙う。

午前八時五分。

緊急会議が始まった。

望月社長、秋山法務総務部長、大石倉庫部長、品質管理部長、営業部長、久我真琴が参加した。

三枝は、受け手確認ログを共有した。

「申し送り表の受け手確認が、複数部署でほぼ同時に行われています。アクセス元は同一の外部クラウドIPです。各本人が実際に内容を読んだかは未確認です」

大石が、画面越しに言った。

「俺は押していない。七時三十一分は現場にいた」

品質管理部長も言った。

「私も押していません」

黒崎も首を横に振った。

「俺もだ」

秋山も続けた。

「私も、その時刻にはまだメールを開いていません」

会議室の空気が硬くなった。

全員が確認済みになっていた。だが、誰も確認していない。

久我が言った。

「ConfirmLinkの仕組みを確認してください。リンクを押すだけで確認済みになるのか、ログインが必要なのか」

三枝は設定を開いた。

ConfirmLink。

用途。

申し送り表、重要通知、方針確認の既読確認。

認証。

メール本文内の一意リンク。ログイン不要。リンク有効期限、七日。リンククリックで確認済み。

三枝は、思わず目を閉じた。

「ログイン不要です。メール内リンクを開くだけで確認済みになります」

山崎が静かに言った。

「リンクを知っていれば、本人でなくても確認済みにできます」

秋山が言った。

「メールセキュリティ製品がリンクを自動検査して押した可能性は？」

久我が頷いた。

「それもあり得ます。ただし、今回はBlue Heron関連のクラウドレンジに近い。さらに、確認済みのタイミングが不自然です。自動検査か攻撃者か、切り分けます」

三枝は時系列表を開いた。

08:07　確認済み申し送り表の受け手確認ログに不審点。複数部署の確認が07:31:02〜07:31:04に集中し、同一外部クラウドIPからConfirmLinkがクリックされていた。大石、品質管理部長、黒崎、秋山はいずれも当該時刻の確認操作を否定。ConfirmLinkはメール内一意リンクをログイン不要でクリックすると確認済みとなる設定。

保存。

画面右下。

保存しました。

午前八時三十分。

Blue Heronからメールが届いた。

件名は、Read。

本文は、短かった。

They read it.Your system says so.

彼らは読んだ。あなたたちのシステムがそう言っている。

その下には、申し送り表の受け手確認欄が貼られていた。

緑色のチェック。確認済み。時刻。部署名。

三枝は、保全した。

大石が、低い声で言った。

「読んでない」

山崎が頷いた。

「はい。システムは“リンクが開かれた”ことを示しているだけです。“人が読んで理解した”ことまでは示していません」

久我が言った。

「既読確認リンクは、メールセキュリティゲートウェイ、プレビュー機能、攻撃者、転送先、共有メール。いろいろなものが開けます」

山崎は、ホワイトボードに整理した。

送信済み到達済み開封済みリンククリック済み確認済み理解済み対応開始

「これらは全部違います」

三枝は、強く頷いた。

また、言葉を分ける作業だ。

配達済みと現物到着は違う。電子署名と会社意思は違う。タイムスタンプと真実は違う。そして、確認済みと理解済みは違う。

三枝は入力した。

08:30　不明差出人より件名“Read”のメール受信。申し送り表の確認済み欄を提示し、“システムが読んだと言っている”と記載。リンククリックによる確認済みと、人間の理解・対応開始を区別する必要を確認。証跡保全。

保存。

午前八時五十五分。

ConfirmLinkの配信経路を確認すると、さらに別の問題が見つかった。

申し送り表の確認リンクは、各責任者のメールだけでなく、部署共有メールにも送られていた。

品質管理部。

quality-shared@suruga-ml.co.jp

倉庫部。

warehouse-leads@suruga-ml.co.jp

法務総務部。

legal-general@suruga-ml.co.jp

情シス。

it-incident@suruga-ml.co.jp

これだけなら、通常業務上あり得る。

だが、そのうち一つ、古い転送設定があった。

it-incident@suruga-ml.co.jp から、旧外部SOC連携メールへ転送。

さらに、旧外部SOC連携メールから、NotifyBridge旧通知チャンネルへ転送。

三枝は、思わず声を漏らした。

「また通知の巣です」

黒崎が机に手を置いた。

「it-incidentから旧SOC連携へ転送が残っているのか」

「はい。古い設定です。NotifyBridge旧通知チャンネルにも流れていた可能性があります」

久我が言った。

「確認リンクが外部転送され、攻撃者がそれをクリックした可能性があります」

山崎が、静かに言った。

「確認リンクも、秘密情報です」

ホワイトボードに書く。

確認リンク＝一時的な権限

三枝は、時系列表へ入力した。

08:58　ConfirmLink配信先確認。各責任者メールのほか、部署共有メールにも確認リンクを送信。it-incident@suruga-ml.co.jpから旧外部SOC連携メール、さらにNotifyBridge旧通知チャンネルへの転送設定が残存していた可能性。確認リンクが外部転送され、第三者クリックにより確認済みとなった可能性。

保存。

旧通知の巣。

閉じたと思っていた。だが、別の転送経路が残っていた。

通知は、何度でも巣を作る。

午前九時二十分。

緊急対応が始まった。

ConfirmLinkの全未使用リンクを失効。

All pending confirmation links revoked

既にクリック済みの確認は、いったん無効化。

ステータスを、要再確認 へ変更。

新しい確認方式。

ログイン必須。本人MFA必須。内容表示後、確認チェック。確認時に、担当者が「自分が次に何をするか」を選択または入力。重要申し送りでは、口頭またはチャットで受け手確認。

三枝は、設定を変更した。

山崎が言った。

「確認を“クリック”から“理解と次アクション”へ変えます」

大石が頷いた。

「読んだら、次に何をするか書く」

品質管理部長も言った。

「品質判定なら、次回確認時刻を入れます」

秋山が言った。

「法務総務なら、関係先への照会や契約確認を入れる」

久我が言った。

「情シスなら、ログ確認や設定変更を入れる」

山崎は、ホワイトボードに書いた。

確認＝読んだ＋理解した＋次の行動を持った

三枝は入力した。

09:22　ConfirmLink全未使用リンクを失効し、クリック済み確認を要再確認へ戻す。新方式として、ログイン必須、MFA必須、内容表示後の確認、次アクション入力、重要事項の口頭/チャット確認を導入。確認済みを“読んだ＋理解した＋次の行動を持った”状態へ再定義。

保存。

午前九時四十五分。

Blue Heronからメールが届いた。

件名は、Too much reading。

本文は、短い。

Now they must read.Cruel.

今度は本当に読ませるのか。残酷だ。

三枝は、保全しながら、小さく言った。

「読みます」

山崎は頷いた。

「重要なものは、読まなければなりません」

望月も言った。

「読ませることは、責任を渡すことです」

久我が付け加えた。

「攻撃者にとっては面倒です。リンクをクリックするだけでは済まなくなりました」

三枝は入力した。

09:45　不明差出人より件名“Too much reading”のメール受信。ConfirmLink方式変更に反応した可能性。“今度は本当に読ませるのか”と記載。証跡保全。

保存。

午前十時十五分。

受け手再確認が行われた。

東側第二定温庫の申し送り。

大石。

ログイン。MFA。内容確認。次アクション入力。

倉庫部：E2-A部品交換立会い、E2-B負荷確認、対象庫再稼働可否を保守会社・品質管理部と確認。次回確認 12:00。

品質管理部長。

移送資材の使用可判定済み。E2-A正式修理完了後、対象庫再利用前の温度安定確認を実施。次回確認 13:00。

黒崎。

OnCallBoard当直変更ログとNotifyBridge転送残存調査。ConfirmLink旧転送経路遮断。次回確認 11:30。

秋山。

施設管理会社との契約権限・外部当直変更権限の確認。NightOps契約終了証明の要求。次回確認 15:00。

望月。

経営確認済み。E2-A復旧・当直統制・申し送り真正性を本日取締役会へ報告。

三枝は、確認欄を見た。

今度は、緑色のチェックだけではない。

誰が何を受け取ったか。次に何をするか。

それが書かれている。

山崎が言った。

「これなら、朝が動けます」

三枝は入力した。

10:18　東側第二定温庫申し送りについて、各責任者がログイン・MFA・内容確認・次アクション入力を完了。倉庫、品質、情シス、法務総務、経営の具体的継続対応と次回確認時刻を記録。

保存。

午前十一時。

旧外部SOC連携メールとNotifyBridge転送の調査が進んだ。

ConfirmLinkは、確かに it-incident の転送経路を通じて旧外部SOC連携メールへ流れていた。旧外部SOC連携メールは、NotifyBridge旧通知チャンネルへ転送。そのチャンネルは以前隔離したものとは別の、ops-notify-archive-readonly だった。

黒崎が、低く言った。

「readonly版が残っていたのか」

三枝は、画面を見ながら言った。

「はい。アーカイブ参照用の読み取りチャンネルです。外部アカウントは少ないですが、旧SOC連携ボットが残っています」

久我が言った。

「攻撃者がそこから確認リンクを取得した可能性があります。リンクは一時的な権限なので、転送されると危険です」

山崎が言った。

「通知リンク、確認リンク、承認リンク。リンク自体を秘密として扱う必要があります」

三枝は、未了事項台帳に追加した。

U-180　確認リンク・承認リンク・通知リンクの転送制御未整備

責任者。

三枝・黒崎・秋山

期限。

七日以内に暫定ルール

状態。

開始

時系列へ入力。

11:04　ConfirmLinkがit-incident転送経路から旧外部SOC連携メール、さらにops-notify-archive-readonlyへ転送されていたことを確認。旧SOC連携ボットが残存。確認リンクが第三者に取得されるリスク。通知リンク・確認リンク・承認リンクを秘密情報として転送制御対象化。

保存。

午後零時十分。

Blue Heronからメールが届いた。

件名は、Links are keys。

本文は、一行。

A link is a little key.

リンクは、小さな鍵だ。

三枝は、保全した。

山崎が頷いた。

「その通りです」

秋山が言った。

「リンクを転送することは、鍵を渡すこと」

「はい」

山崎は答えた。

「特に、ログイン不要の確認リンクや承認リンクは、鍵そのものです」

久我が言った。

「今後は、リンク単独で状態を変えない。ログイン、MFA、セッション、CSRF、期限、用途制限、転送検知」

黒崎が頷いた。

「技術側で設定します」

三枝は入力した。

12:10　不明差出人より件名“Links are keys”のメール受信。確認リンクを小さな鍵と表現。リンク単独で確認・承認状態を変えない方針を確認。証跡保全。

保存。

午後一時半。

確認リンク統制の方針案が作られた。

山崎が文面を整える。

確認リンク・承認リンク統制方針

一　リンク単独で重要状態を変更しない。

二　重要確認・承認は、ログイン、MFA、本人性確認、権限確認を必須とする。

三　確認済みには、次アクションまたは理解確認を含める。

四　リンクは秘密情報として扱い、外部転送・通知チャンネル共有を禁止する。

五　共有メールへ確認リンクを送る場合、個人確認として扱わない。

六　リンク有効期限を短縮し、利用後は即失効する。

七　リンククリックログだけで理解済みとしない。

八　メールセキュリティ製品やプレビューによる自動クリックを区別する。

九　重要申し送りは、受け手確認ログをEvidence Chainへ含める。

大石が言った。

「共有メールで確認済みになっても、人が読んだとは限らない」

山崎は頷いた。

「はい。共有メールは部署への到達であり、個人理解ではありません」

品質管理部長が言った。

「品質判断では、個人名で確認します」

秋山も言った。

「法務判断も同じです」

三枝は、確認方式設定を更新した。

共有メールへのリンクは受付通知のみ。個人確認は個人アカウント。MFA必須。次アクション必須。

保存。

午後二時三十分。

別の申し送りで、旧ConfirmLinkによる確認済みが見つかった。

対象は、取引先連絡先マスタの緊急監査。

営業部の一部が確認済みになっていたが、実際には共有メールリンクの自動プレビューだった。

結果として、未確認の取引先が二社残っていた。

営業部長が、顔をしかめた。

「危なかった。確認済みと思っていました」

山崎は言った。

「既読の罠は、ほかにもあります。全重要申し送りで再確認しましょう」

三枝は、過去四十八時間のConfirmLink確認済みを抽出した。

対象。

当直表。取引先マスタ。POD真正性。公式ドメイン。メール送信元。問い合わせ箱。電子印。委任状。

かなり多い。

全件を再確認するのは大変だ。

山崎が言った。

「優先順位をつけます。現物、安全、取引先確認、公式発信、権限変更、法令・契約通知。この順で」

三枝は入力した。

14:36　旧ConfirmLinkによる確認済みが共有メール自動プレビューで発生した可能性を複数確認。取引先連絡先マスタ緊急監査で未確認2社が残存。過去48時間の重要ConfirmLink確認済みを、現物・安全・取引先確認・公式発信・権限変更・法令契約通知の順で再確認する方針。

保存。

午後三時二十分。

Blue Heronからメールが届いた。

件名は、Read receipts everywhere。

本文は、短い。

Your company is full of little green lies.

あなたたちの会社は、小さな緑の嘘でいっぱいだ。

三枝は、保全した。

緑のチェック。

確認済み。既読。完了。承認。受領。配送済み。

小さな緑の印は、人を安心させる。

だが、それが嘘なら危険だ。

山崎が言った。

「緑のチェックの意味を、すべて再定義する必要があります」

望月が頷いた。

「確認済み、対応済み、承認済み、配送済み。全部、何を意味するかを明確にする」

久我が言った。

「ステータス辞書ですね」

三枝は、ホワイトボードに書いた。

ステータス辞書

山崎が頷いた。

「必要です。会社で使うステータスの意味、条件、証跡、責任者を定義しましょう」

三枝は入力した。

15:20　不明差出人より件名“Read receipts everywhere”のメール受信。“小さな緑の嘘”と記載。確認済み、対応済み、承認済み、配送済み等のステータス意味を定義するステータス辞書の必要性を確認。証跡保全。

保存。

午後四時半。

ステータス辞書の初版が作られた。

送信済み通知・メール・メッセージが送信システムから出た状態。人間の受領や理解は示さない。

到達済み相手側システムに到達した状態。人間が読んだことは示さない。

開封済みメールまたはページが開かれた状態。本人が読んだことは示さない。

確認済み本人確認済みアカウントで内容確認し、必要な次アクションを記録した状態。

Ack済みアラートを認識した状態。現場対応や完了は示さない。

対応中実在担当者または責任部署が対応を開始し、次アクションが記録された状態。

対応完了必要な作業が完了し、確認者が記録した状態。

解決確認済み相手方または責任部署が結果を確認し、追加対応不要を確認した状態。

配送済み現物、ePOD、受領側確認、温度ログ等が整合した状態。

承認済み本人性、権限、意思、記録が確認された承認。

署名済み電子署名が付された状態。会社意思決定の完了とは別。

山崎が言った。

「これを全社の共通語にします」

大石が頷いた。

「現場でも、配送済みの意味を更新します」

秋山が言った。

「法務文書にも、署名済みと承認済みを分けます」

黒崎が言った。

「情シスも、Ackと対応完了を分けます」

三枝は、ステータス辞書をEvidence Chainへ追加した。

午後五時五十分。

Blue Heronから、その日最後のメールが届いた。

件名は、Dictionary。

本文は、一行。

You ruin simple words.

単純な言葉を台無しにしたな。

三枝は、保全しながら、少しだけ笑った。

「台無しにします」

山崎も、わずかに微笑んだ。

「単純すぎる言葉は、攻撃者の味方になります」

望月が言った。

「会社の言葉を、正確にする」

三枝は入力した。

17:50　不明差出人より件名“Dictionary”のメール受信。ステータス辞書作成に反応した可能性。“単純な言葉を台無しにした”と記載。証跡保全。

保存。

午後七時。

その日の最終会議で、山崎はまとめた。

ホワイトボードには、今日の言葉が並んでいる。

既読の罠確認済み ≠ 理解済み確認リンク＝一時的な権限確認＝読んだ＋理解した＋次の行動を持ったリンクは小さな鍵ステータス辞書

山崎は言った。

「今日、攻撃者は受け手確認を偽装しました。緑のチェックを作ることで、朝が内容を理解したように見せました」

望月が頷いた。

「緑のチェックだけでは、もう信じない」

「はい」

久我が言った。

「クリック、到達、既読、理解、対応開始を分ける必要があります」

秋山が言った。

「法務でも、承認済み、署名済み、確認済みを分けます」

大石が言った。

「現場でも、配送済みと受領書ありを分けます」

三枝が言った。

「情シスでも、Ackと対応完了を分けます」

山崎は、静かに頷いた。

「会社の言葉が、少し正確になりました」

午後十時。

三枝は、一人でステータス辞書を見ていた。

最初は面倒に見えた。

だが、読み返すほどに、これが必要だと分かる。

会社は、言葉で動く。

対応済み。確認済み。承認済み。配送済み。解決済み。

その言葉が曖昧なら、攻撃者が中に入り込む。

三枝は、自分のノートに書いた。

曖昧な言葉は、攻撃者の隙間になる。言葉を正確にすることも、防御である。

保存。

山崎が、背後から言った。

「今日の結論ですね」

三枝は振り返った。

「先生、いよいよ辞書まで作ることになりました」

山崎は頷いた。

「会社の辞書です。重要です」

「セキュリティって、言葉の仕事でもあるんですね」

「はい。何を同じだとみなし、何を違うとみなすか。それが防御の線になります」

三枝は、ステータス辞書を保存した。

午前零時。

三枝は、時系列表の最後に入力した。

00:00　確認済み申し送り表の受け手確認について、複数責任者のConfirmLinkが同一外部クラウドIPからほぼ同時にクリックされ、本人は確認操作を否定。ConfirmLinkはログイン不要のメール内一意リンクで、部署共有メールや旧外部SOC連携・NotifyBridge readonly経路へ転送されていた可能性を確認。未使用リンク失効、確認済みを要再確認へ戻し、ログイン・MFA・内容確認・次アクション入力を必須化。確認リンク・承認リンクを一時的な権限として扱い、ステータス辞書を作成開始。

保存。

画面右下。

保存しました。

三枝は、自分のメモにも一行追加した。

読んだかどうかではなく、何を引き受けたか。確認とは、次の行動を持つことだ。

保存。

第三会議室の外では、倉庫が静かに動いていた。

通知は届く。リンクは開かれる。チェックは付く。

だが、会社はもう緑の印だけでは進まない。

誰が読んだのか。何を理解したのか。次に何をするのか。

そこまで見てから、確認済みと言う。

それが、次の防御だった。