見えない木目 — 重電の六月（長編フィクション）

— 2019～2020年「三菱電機の不正アクセス事案：2019/6/28の不審挙動検知→社内端末・サーバの広域調査→個人情報や企業機密の外部流出“可能性”を1/20公表→ログ消去など痕跡隠滅が指摘→防衛装備の『注意情報』を含む可能性を2月に追加公表→起点や手口について複数の技術報道（アンチウイルス製品のゼロデイ等）—を骨格にした創作

00｜金曜 23:41　木目が逆立つ音

青蘭（せいらん）重電・品川本社。夏芽は、監視盤の一角にある地味な折れ線を見つめていた。数分ごとに一定の呼吸で外へ出ていく細い線。宛先は海外拠点のプロキシ——見覚えはある。だが、時刻も間隔も綺麗すぎる。

WAFは緑、FWも緑。SIEMのルールも鳴かない。それでも、木目に逆らうような逆光が、夏芽の皮膚を逆立てた。

プロセス列を覗く。先週まで無かった細い常駐。署名は正しい顔をしている。夏芽は電話の短縮を押した。

01｜00:07　“止める／伝える／回す”

静岡・山崎行政書士事務所。白板の前に**律斗（りつと）**が立ち、太いペンで三行を書く。

止める／伝える／回す

• 止める：対象サブネットを電源落とさずネットワーク隔離。Outboundは**“白”（許可宛先だけ）に絞る。RAMダンプ／ディスク像／KMS・ID発行ログを一方向で吸い上げる。常時特権はゼロ**、必要時だけ（JIT）に短期貸与。検疫VLANへ疑わしい端末を順次退避。

• 伝える：三文を経営／広報／所管連絡窓口に同報。“事実”（海外拠点宛の規則的通信／隔離実施）と**“可能性（仮説）”（セキュリティ製品管理系の穴→横展開→持ち出し）を段落で分離**。正午／17時に時刻で更新。「支払い先変更メールは無効」を文頭に。

• 回す：夜間のリリースを全面停止。保守作業は紙の手順＋口頭復唱へ。遅いけど確実に回す。

りなが頷く。「72時間の所管報告を回します。“声は鍵”（折り返し＋二名承認）を全窓口に。」

奏汰（そうた）は構成図に赤を走らせる。「防御の箱に穴を穿たれてる線。管理サーバに静かに寄生、正規の顔で鍵束に触る。」

悠真（ゆうま）が短く言う。「“正しいものの顔をした別人”が門を抜けてる。ログは後から消す手癖。」

ふみかは三文の一次報を置いた。

受付でやまにゃんのしっぽ（Type‑C）が、小さく光る。札には太い字。

02｜01:12　「六月二十八日の置き手紙」

監査ログをめくると、夏の入口に薄い跡があった。6/28の未明、一台の端末が短く咳をした。数日おきに別の島で同じ咳。やがて、管理系に静かな影が差し、プロセスが一つ増えた。署名は正しい。でも、木目に逆らう手触り。

夏芽は喉が冷えるのを感じた。

03｜02:05　四つの数字（第一次）

蓮斗（れんと）が白板に数字を書く。

• MTTD（検知）：49分（規則的越境通信の相関）

• 一次封じ込め：71分（隔離／白化／証跡保全／JIT化）

• 観測痕跡：端末常駐＋プロセス偽装／ログ削除疑い

• 暗号化：兆候なし（**“持ち出し型”**を優先）

律斗は短く言う。「勝ってはいない。でも**“間に合っている”**。」

04｜正午　一次報（社外）

会見の台本にりなは主語を太く置いた。

05｜夜　削られた鉛筆

端末のイベントログには歯抜けがあった。痕跡が消しゴムでなぞられたみたいに薄い。悠真はメモリの底に残る糸くずを拾い上げる。注入、プロセス名の借用、サービスの影。奏汰は**“二つの森”の小道を閉じ**、Outboundを白に絞り、DNSの未知の連鎖を即死に落とす。

やまにゃんの札が光る。

06｜数週間後　段落が増える

社内の棚卸が進むにつれ、段落が一つ増えた。

蓮斗が数字を添える。

• “可能性”の通知：段階開始（郵送）

• “注意情報”の扱い：関係所管に報告

• “確認済み”個人情報：数千～数千人台（継続集計）

07｜二月　「注意情報」の重さ

所管は緊張していた。装備仕様の要件など**“注意情報”が、可能性として輪郭を持ち始めたからだ。りなは二段落の型を崩さずに更新**する。

• 確認された事実：“注意情報”の存在可能性を把握→所管に報告済み。

• 未確定（継続調査）：対象ファイルの最終確定・範囲。

混ぜない。時刻で切る。謝るときは主語を最初に置く。

08｜外の声、内の地図

報道は**“海外拠点→日本へ横展開”、“セキュリティ製品のゼロデイ”、“14部署・約200MB”などを並べた**。りなは会見で言う。「帰属や手口の特定は私たちが言わない。公的情報と検証結果を時刻で示す。」奏汰は地図を描き直す。

• “見る鍵／運ぶ鍵／署名する鍵”を分離。

• 常時特権ゼロ、JITの短い貸与。

• SOCで越境の呼吸を常時監視。

• EDRで端末の微熱を拾う。

• 証跡はWORMで二経路。

悠真は**“空の箱”を立ち上げ、既知良品だけで最小復帰を走らせる。古い箱は凍らせ**、道は記録でふさぐ。

09｜三つの時計

1. 現場の時間（開発・運用・調達）

2. 規制の時間（72時間と継続報告）

3. 経営の時間（信頼・費用・再発防止）

りなは三行で締める。

やまにゃんが静かに札を揺らす。

10｜春　紙の重さ

郵便は遅い。でも、戻れる速さはそこから生まれる。通知は名寄せで分け、内容で段落を変える。“確認済み”と“可能性”を混ぜない。サポート回線は折り返し前提、台本の一行目に**「当社からATM操作や送金依頼はしない」**を置いた。

夏芽は監視盤に新しい鈴を付ける。“正しい顔をした別人”の小さな足音が、夜に鳴るように。

11｜一巡後　木目は揃う

青蘭重電の箱は、小さく歌い直す。越境はSOCが、端末はEDRが、人は紙が受け持つ。技術と資本の境界を一致させ、共有の小道は閉じた。ログは長く深く、監査は外の目も入れる。夏芽は机の引き出しに薄い紙を戻し、時刻を押した。

木目は静かに揃い、逆立っていた皮膚は温度を取り戻す。見えない木目の乱れは、もう一つの地図を私たちにくれた。

—— 完

参考リンク（URLべた張り／事実ベース・一次情報／主要報道・技術整理）

※本作はフィクションですが、骨格（2019/6/28の検知→2020/1/20公表、個人情報・企業機密の外部流出“可能性”、ログ消去の指摘、2月に“注意情報”の可能性を追加公表、一部報道による起点・手口の解説など）は下記に基づいています。

https://www.mitsubishielectric.co.jp/ja/pr/pdf/2020/0120-b.pdfhttps://www.mitsubishielectric.co.jp/ja/pr/pdf/2020/0212-b.pdfhttps://www.reuters.com/article/world/uk/japan-says-defence-data-possibly-breached-after-cyberattacks-on-mitsubishi-elect-idUSKBN2050AD/https://piyolog.hatenadiary.jp/entry/2020/01/20/172436https://www.bleepingcomputer.com/news/security/mitsubishi-electric-warns-of-data-leak-after-security-breach/https://www.securityweek.com/hackers-steal-employee-and-corporate-information-mitsubishi-electric/https://www.asahi.com/ajw/articles/13948123https://www.asahi.com/ajw/articles/14510480https://www.cpomagazine.com/cyber-security/data-breach-at-mitsubishi-electric-caused-by-zero-day-vulnerability-in-antivirus-software/https://www.secureworld.io/industry-news/hackers-use-anti-virus-zeroday-to-breach-mitsubishi-electric/