雪の切替 — 冬至の配電網（長編フィクション）

— 2015年のウクライナ電力網サイバー攻撃（BlackEnergy／KillDisk／遠隔での開閉器操作・コールセンターDoS・シリアル‐イーサ装置の破壊）を骨格にした物語

00｜15:23　「誰かが、私たちの手で動かしている」

北陸の山あい、白波電力配電センター。監視卓の前で、運転員の千佳はマウスを掴み直した。一次変電所の母線図に、あり得ない速度のポップアップが走る。開閉器のステータスが閉→開、閉→開……自動のリズムではない。誰かの手で、こちらのマウスの上から押されているみたいだ。

千佳が非常停止のキーに手を伸ばすより早く、画面の端に小さな黒窓が開き、英字が流れた。誰かが中にいる。そして電話が鳴り出した。数百本。切っても切っても鳴る。広報が顔を上げる。「停電の問い合わせじゃない。音の壁だ。電話のDoS。」

「山崎行政書士事務所に回線を。」所長の野尻が言った。「今すぐ。」

01｜15:38　“止める／伝える／回す”

静岡・山崎行政書士事務所。ホワイトボードに**律斗（りつと）**が三行を書く。

止める／伝える／回す

• 止める：遠隔制御を落とす。HMIから操作権を剥がし、SCADAの外向きを遮断。シリアル‐イーサ変換器（RTU前段）は切替盤で物理分離。

• 伝える：三文で現場・自治体・警察に同報。“事実”と“可能性”を段落で分け、時刻（正午／17時相当の節目）を約束。

• 回す：手順書どおり現地切替。保守班をルートごとに分け、手動閉路で優先需要（医療・通信・送水）に電気を配る。遅いけど確実に。

りなが付け足す。「72時間の法の時計も回します。“支払い先変更メールは無効”は序文に必ず。停電情報は短文＋時刻で刻む。」

奏汰（そうた）はネットワーク図に赤を入れた。「BlackEnergy系の横移動とKillDiskの破壊。HMIの人間の指を遠隔で上書きしている。無線中継も怪しい。UPSを切られてログが飛ぶかもしれない。」

悠真（ゆうま）が言う。「シリアル‐イーサの一部はファーム書替えで文鎮化の可能性。遠隔復帰は難しい。現地切替で行くしかない。」

ふみかが三文の一次報を読み上げる。

「時刻は安心の枠。」りなが赤で丸をつけた。

02｜16:05　「画面の向こうの運転員」

SCADA卓では、ポインタが勝手に動くのをやめ、黒窓が増えた。KillDiskが静かに足元を削っていく。表示が一枚ずつ灰色に——消えていく。電話は鳴り続け、通信室のUPSが鳴動して落ちた。冗長は一段しかなかった。

蓮斗（れんと）が四つの数字を掲げる。

• MTTD（検知）：数分（HMIの無許可操作で発覚）

• 一次封じ込め：27分（遠隔制御の遮断・現地切替開始）

• 停電世帯：数十万規模（推計）

• 復電見込み：優先需要は2時間以内→段階復帰

律斗は言う。「勝ってはいない。**“間に合っている”**だけだ。」

03｜17:12　雪とゴム手袋

保守班が白の軽トラを飛ばす。手袋で切替棒を握り、雪の中で油圧をじわと押す。無線は短い言葉だけ。「14‐B、閉。」「音合わせ良し。」優先配電の地図はA3の紙、蛍光ペンのルートが増える。

広報は定時の三文をループする。「何時にどこが戻る。」怒号は減り、呼吸が整う。受付には白い猫のマスコット。しっぽはUSB Type‑C。札には太い字で、

04｜18:40　シリアルの断絶

変電所の端で、シリアル‐イーサの小箱が沈黙していた。電源は生きているのに、返事がない。悠真が呟く。「ファームを塗りつぶされた。遠隔の指は切られた。人の足で戻すしかない。」奏汰は切替盤に磁石の札をかけ、誤操作の線を機械的に潰す。SCADAの画面は黒、だが、現場の電気は紙と声で流れていく。

05｜20:05　“見えない期間”をどう扱うか

経営会議。「いつから入られていた？」所長の野尻。りなが答える。「数か月前から偵察・横移動、年末に開閉器操作。“静かな期間”は被害の一部です。広報は**“確認された事実”と“未確定（継続調査）”を段落**で分けます。」

ふみかはFAQに一行を足す。

身代金は主役ではない。狙いは停電と混乱だ。

06｜21:30　“手で回す夜”

保守班の動作票にチェックがつき、優先系統が点から線へ。変電所の床に水滴が並ぶ。吐く息が白い。蓮斗の数字が緑に寄る。

• 優先需要復電：完了

• 一般復電：段階中（見込み：深夜〜明朝）

• SCADA/HMI：KillDiskで損耗（再構築へ）

• コールセンター：DoS緩和、定型での案内へ遷移

07｜00:10　「戻す設計」のはじまり

クリーンルームでSCADAの新しい箱が立つ。最小構成で動かし、監視は**“人の10分会議”を間に挟む。外向きは白リスト**、双方向は分離。遠隔は**“鍵を三つ”**——現場、監視、系統運用。誰も全部持たない。

例外には期限。48時間で自動失効。延長は10分会議で。

08｜翌朝 06:45　雪、解ける

日の出の頃、最後の支線が復電する。千佳は真新しいHMIに最小の画面だけを出し、紙の地図を横に置いた。画面は信じるためではなく、照合のためにある。

09｜二日後 12:00　“72時間”の線

りなは報告を二段落で固める。

• 確認された事実：遠隔での無許可操作、コールセンターDoS、KillDiskによるHMI/SCADAの破壊、シリアル‐イーサ変換器の機能不全、現地切替による復電。

• 未確定（継続調査）：侵入の初期経路、期間、関与主体。

蓮斗の数字。

• MTTD：“瞬時”→さらに短縮（監視ルール見直し）

• 一次封じ込め：27分 → 18分

• 優先復電SLA：2h → 90m

• 例外期限遵守率：98%

律斗はホワイトボードの端に書く。

10｜エピローグ　雪解けの後

白波電力の受付で、やまにゃん（白い猫のマスコット）がしっぽのType‑Cを光らせる。札には変わらない一行。

画面は戻る。だが、紙と声は捨てない。遠隔は便利だが、鍵は三つに分けて持つ。冬至の停電を越えて、人が電気をもう一度流した。

—— 完

参考リンク（URLべた張り／事実ベース・一次情報／技術分析・公的整理）

※物語はフィクションですが、骨格（遠隔での開閉器操作・コールセンターDoS・BlackEnergy/KillDisk・シリアル‐イーサ装置破壊・現地切替による復電・影響規模・多段階侵入）は以下に基づいています。

https://www.nerc.com/pa/rrm/ea/Analysis%20of%20the%20Cyber%20Attack%20on%20the%20Ukrainian%20Power%20Grid.pdfhttps://www.us-cert.gov/ics/alerts/IR-ALERT-H-16-043-01https://www.sans.org/white-papers/ukraine-ukraine-power-outage-analysis-370/https://www.eset.com/int/about/newsroom/press-releases/research/blackenergy-and-grey-energy/https://www.dragos.com/wp-content/uploads/CRASHOVERRIDE-01.pdfhttps://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdfhttps://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-electricity-outage-ukraine/https://www.energy.gov/sites/default/files/2016/03/f30/EISAC_SANS_Ukraine_DUC_5.pdfhttps://www.us-cert.gov/ics/alerts/ICS-ALERT-16-296-01https://www.mandiant.com/resources/ukraine-power-disruption-analysis