第1章　異変の兆候

東亜製薬のIoT臨床試験センターでは、深夜の静けさの中、試験室の蛍光灯がわずかに唸るだけだった。廊下を巡回していた夜勤のスタッフは、患者用のウェアラブルモニターから発せられる微かな電子音に耳を傾け、順調なバイタルサインを確認していた。

しかし、その静けさは突然破られた。午前2時過ぎ、監視システム室のコンソールに設置された警報ランプが赤く点滅し、低いブザー音が鳴り響いた。Azure Sentinelによるセキュリティ監視が異常な挙動を検知し、SOC（セキュリティオペレーションセンター）にアラートを発したのである。

同じ頃、病棟の一角では患者のバイタルモニターが一斉に警告音を発し始めた。「患者モニターデバイスの通信が途絶えました」というメッセージが看護師の端末に表示され、現場のスタッフは顔を見合わせる。いくつかのIoT医療機器が突然データ送信を停止し、制御システム（ICS）経由で管理されていた室温や照明が勝手に変動し始めたのだ。

当直のエンジニアはすぐに対応に乗り出した。だが、センター内の各所で次々と異常が報告される。ある試験室では空調の設定が勝手に切り替わり、試験薬保管用の冷蔵庫の温度が急上昇している。別のフロアでは電子カルテ端末が操作不能となり、画面に見慣れないロック画面が表示されたとの情報も入った。

「何が起きている？」エンジニアの一人が叫ぶように呟く。すでに単純な機器故障の域を超えている。サイバー攻撃の可能性が頭をよぎった。東亜製薬はゼロトラスト方針に則りネットワークを厳格に分離し、Azureクラウド上で高度な監視体制を敷いている。それでも、これだけ同時多発的な障害が起きるのは尋常ではない。

直ちに臨床試験センター長から非常連絡網が発動された。システム管理責任者とセキュリティチーム、そして顧問の山崎に緊急通報が入る。山崎は元々企業法務とサイバーセキュリティに精通した行政書士で、このセンターの顧問として危機管理の陣頭指揮を執る立場にあった。夜半の電話を受けた彼は一瞬で事態を察し、車を飛ばして現地へ向かった。薄暗い市街地を抜け、遠く試験センターの建物に非常灯が点滅するのが見え始めた頃、山崎は深く息を吸い、これから始まる長い夜に備えて気を引き締めた。

第2章　緊急対応

山崎がセンターに到着したのは、アラート発生から1時間も経たない午前3時前だった。受付は無人だが、奥から慌ただしく人の声が聞こえる。建物に入るや否や、非常用照明の不気味な明滅が目に飛び込んだ。エレベーターは停止しており、階段を駆け上がると、臨床試験センターの管制室に臨時の対策本部が設けられていた。

「山崎さん！」セキュリティエンジニアの田島が駆け寄る。「状況は？」山崎が尋ねると、田島は顔をしかめながらコンソールを指差した。「複数のシステムが一斉にダウンし、ランサムウェアの可能性が高い画面ロックが発生しています。しかもIoTデバイスやICSにも影響が及んでいます。」山崎はモニターに目を向けた。そこには試験センター内の各ネットワークセグメントの状態が示されており、医療IoT、ICS、社内ITシステムの各ゾーンで異常が点滅している。

Azureの管理ポータルにも異変が出ていた。Azure ADに不審なグローバル管理者権限の昇格ログがあり、複数のAzureリソースで一斉にエラーログが記録されているという。「攻撃者はAzure ADの権限を乗っ取った可能性があります」Azureクラウドアーキテクトの西尾が緊張した声で報告した。「このため、ロールベースアクセス制御をすり抜け、IoT HubやVirtual Machines、データベースにまでアクセスされているようです。」

山崎はすぐに対応策の指示を始めた。「最優先は被害拡大の阻止だ。」彼は落ち着いた声で言い、ホワイトボードに『封じ込め』と書いた。セキュリティチームはゼロトラストのネットワーク設計を活かし、感染が疑われる端末やVMをネットワークから隔離し始める。Azure上では、侵害された可能性のある特権アカウントを即座に無効化し、セッションを強制終了させるスクリプトが実行された。IoT Hubは攻撃者に操られている可能性があるため、一時的にデバイスとの接続を遮断し、IoTデバイスをローカルモードで動作させるようエンジニアが現場に走る。

ICSに関しては、制御システムの物理的な緊急停止も検討された。実験棟の環境制御用PLC（プログラマブルロジックコントローラ）が不規則な命令を受けている形跡があり、冷却装置や換気システムが暴走寸前だったからだ。技術者たちは防護服を着てクリーンルームに入り、手動で機器を安全な状態に切り替え始めた。患者モニタリング機器についても、臨時にスタンドアロンの予備モニターに差し替え、患者の安全確保を最優先とした。

一方で、ランサムウェアによる端末ロックの報告が増えていた。試験データを入力していたPCやサーバ上のファイルにアクセスできず、「ファイルは暗号化された。復旧したければ身代金を支払え」という趣旨のメッセージが表示されているという。山崎は法務の視点からも即座に判断した。「身代金要求に応じる選択肢はありません。まずは技術的対応に全力を尽くしましょう。そのためにも証拠保全を忘れないように。」彼の冷静な言葉に、場のメンバーは緊張しつつもうなずいた。

社内政治の火種もくすぶり始めていた。研究部門の管理者は「治験データが失われれば我々のプロジェクトは大打撃だ」と声を荒らげ、IT部門に早期復旧を迫る。一方、広報責任者は「この事態が外部に漏れれば企業イメージが損なわれる」と懸念を示した。山崎は両者を制し、「対応の優先順位は明確です。患者安全とデータ保全、そして原因究明です。情報公開については事態を把握した上で適切に判断します」と毅然と告げた。

グローバル対応も頭をよぎる。東亜製薬は海外にも拠点を持つため、この攻撃が他地域に波及していないか確認が必要だった。山崎は即座に本社のCISOや海外のセキュリティ責任者へ連絡し、状況共有と協力要請を行った。Microsoftにも緊急連絡を入れ、Azure上での異常な活動の詳細ログ提供と、復旧支援の初動を依頼する。深夜にも関わらず、各方面が慌ただしく動き出していた。

封じ込め作業が進むにつれ、一時的に停止していたシステムも慎重に部分復旧が試みられた。まずはクリティカルではないシステムからクリーンイメージへの切り替えが行われ、感染の広がりを確認する。だが、主要なデータベースやストレージの中身は暗号化されており、簡単に元に戻せる状況ではなかった。

山崎はコーヒーを一口飲み、モニターに映るログ情報に目を凝らした。今はまだ嵐の只中だ。しかし頭の片隅では、すでに「なぜこんな事態になったのか」「攻撃者の目的は何か」という疑問が渦巻いている。彼は深呼吸し、次の段階――徹底的な原因究明と被害状況の調査――に思いを巡らせていた。

第3章　攻撃の解明

夜が明け始める頃、封じ込めに続いて詳細な調査が始まった。山崎はセキュリティエンジニアやAzureアーキテクトとともに、ログやシステムの痕跡を一つひとつ洗い出していく。Azure Sentinelのダッシュボードには、深夜2時前後から多数のアラートとログエントリが記録されていた。

まず注目されたのはAzure ADのログだ。午前1時45分、普段は深夜に活動しないはずの社内アカウント「Taro.Nakashima」によって、突然Azure AD上でグローバル管理者ロールの割り当て変更が行われていた。UEBAの分析では、このユーザーがそれまで担当していた業務範囲を逸脱した操作を実行しており、異常スコアが高くなっていたことが判明した。「中島太郎さんは研究IT担当ですね。この変更を行う権限は本来持っていないはずです」とエンジニアが説明する。山崎は眉をひそめ、「偽装か、彼のアカウントが乗っ取られたのかもしれない」と呟いた。

さらに、同じ頃にAzure上の複数のリソースで異常な操作が実行されていたログが見つかった。ストレージアカウントから大量のデータが圧縮転送されている履歴、データベースのバックアップが削除された記録、そしてAzure IoT Hub上で全IoTデバイスに対して一斉リセットコマンドが投げられた痕跡である。これらはすべて通常の運用手順から逸脱しており、攻撃者がAzure管理者権限を悪用したものと推測された。

EDR（Endpoint Detection & Response）ツールのログも確認された。驚くべきことに、ほとんどのエンドポイントで有効だったEDRが攻撃の間だけ一時停止されていた痕跡があった。「攻撃者はEDRを無効化するか、巧妙に回避する方法を使ったようです」と田島が報告する。あるサーバでは、WindowsのイベントログにEDRサービスのクラッシュを示すエラーが記録されていた。おそらく高度なマルウェアが投入され、エンドポイントの防御を一時的に無力化したのだろう。

被害の全容も徐々に明らかになってきた。研究データサーバ上の臨床試験データファイル群は軒並み暗号化されており、拡張子が見たことのないランダムな文字列に変えられていた。各ディレクトリには身代金要求のテキストファイルが残されており、そこには「全データを暗号化した。復号化ツールと秘密鍵を得たいなら、指示に従え」という英文メッセージがあった。加えて、いくつかの重要なデータベースには改ざんの試みを示唆する不審なトランザクションログが残っていた。幸いデータベースには堅牢な監査証跡とデジタル署名機構があり、攻撃者が改ざんしようと試みても検知され履歴が残る仕組みだった。ログには未遂に終わったUPDATEクエリが記録されており、何者かが治験データを書き換えようとした形跡が見て取れる。

さらに悪いことに、Azure上のバックアップもことごとく削除されていることが判明した。定期的に取得していたストレージのスナップショットや、Azure Backupのリカバリポイントが深夜に一斉削除されていたのだ。通常、削除操作には多要素認証と管理者承認が必要だが、攻撃者は取得した管理者権限でその制御をも凌駕してしまったらしい。「まるで綿密に準備された完全犯罪だな」と西尾が悔しげに漏らす。山崎も深刻な表情で頷いた。これではクラウド上のデータ復旧は困難を極める。

山崎は次に、侵入経路の特定に目を向けた。どうやって攻撃者はAzure ADの支配権を握ったのか？ ログを辿るうち、ひとつの端緒が浮かび上がった。事件前日の夕方、社内のある端末から不審なメールの添付ファイルが開かれていたことが判明したのだ。その端末は臨床データ管理を担当する社員のPCで、添付ファイル実行後に外部の不審なIPアドレスへの通信が発生していた。Sentinelのログに残されたそのIPは、過去に海外のAPT攻撃で使用されたC2（コマンド＆コントロール）サーバと一致するものが含まれていた。攻撃者はまずフィッシングメールを使ってマルウェアを送り込み、内部の足掛かりを得た可能性が高い。

「内部にマルウェアを潜伏させ、そこからAzureクラウドに攻撃を展開したのでしょう」と田島が推論する。実際、侵入経路となったPCからはメモリ内に残された不審な実行コードが検出され、メモリダンプ分析の結果、AttackIQやCobalt Strikeといった攻撃ツールの痕跡が見つかった。どうやらそのPCが踏み台にされ、Azure環境への攻撃が展開されたらしい。

すべてのピースが少しずつ揃い始めた。攻撃者はまず内部端末を初期侵入点としてマルウェアを展開、そこで得た資格情報やトークンを用いてAzure ADに不正アクセスし、権限昇格を達成。続いてAzure上でランサムウェアを展開しつつ、IoT Hubを悪用してIoT/ICS機器にも攻撃を波及させ、混乱を最大化したと考えられた。そして並行して重要データを盗み出し、最後に証拠となり得るバックアップを削除――あまりにも周到で抜け目がない。

山崎は調査結果を整理しながらホワイトボードにフロー図を描いていた。その矢印は「フィッシングメール」から始まり、「内部マシン侵害」「Azure AD権限乗っ取り」「ランサムウェア実行」「ICS/IoT妨害」「データ暗号化・窃取」「バックアップ削除」という一連の流れを示している。「攻撃者の目的は何だろうか？」と誰かが漏らすと、山崎はボードの「データ窃取」の部分を指した。「身代金要求だけが目的ではないはずです。研究データ、特に新薬に関する情報が盗まれています。これはスパイ的な意図を感じます。」その言葉に室内が静まり返った。この攻撃は単なる金銭目的ではなく、国家レベルの背景を持つ知的財産の窃盗ではないか――そんな疑念が一同の胸中に芽生え始めた。

第4章　内通者

徹夜の調査の末、攻撃の輪郭が見えてきたものの、山崎の胸中にはさらなる疑念が生じていた。攻撃の手口があまりにも内部事情に精通しているように思えたのだ。バックアップデータの保管場所や、ICS制御システムの詳細な構成、さらには治験データ管理のプロセスに至るまで、外部の攻撃者が短時間で把握するには難しい情報ばかりである。それらをピンポイントで突いてきたという事実は、内部から何らかの協力があった可能性を示唆していた。

山崎はセキュリティチームと相談し、いくつかの不審な点を洗い直した。まず、最初に権限昇格のトリガーとなった中島のアカウントだ。彼は調査のため別室で待機しており、山崎は念のため本人から事情を聴くことにした。

「私はただ、届いたメールの添付ファイルを開いただけなんです…」疲れ切った表情の中島が弁明する。彼は研究IT担当として試験データ管理に関わっていた社員で、フィッシングメールの標的となった人物だった。中島によれば、業務上取引のある外部機関からの通知メールを装ったメッセージが届き、疑わずに開いてしまったという。その結果、自身のPCがマルウェアに感染し、そこから攻撃者に悪用されたのだと。

山崎は静かに頷きつつも、内心の違和感は拭えなかった。調査で判明した攻撃の巧妙さは、単なる一社員の過失を超えているように感じられたからだ。彼は中島の供述を記録しつつ、別働のフォレンジック担当に指示を飛ばした。「中島さんのPCから、メールサーバの送受信履歴や外部との通信ログを可能な限り復元してください。それと、社内で彼以外に似たメールを受信した人がいないかも調べて。」単独の標的型攻撃であれば、かなり前から中島個人の情報や行動パターンが探られていた可能性がある。だが同時に、もし内部に協力者がいるなら別の手段でコンタクトしているかもしれない——山崎はそう考えた。

解析が進む中、いくつか奇妙な事実が浮かび上がった。例えば、事件の2週間ほど前に、中島のアカウントから社内サーバに大量のアクセスがあり、普段彼が扱わないはずのバックアップディレクトリを閲覧していたログが見つかった。本人に確認しても「そんな操作はしていない」と首をかしげるばかりだ。さらに、別のIT管理者用アカウントで、EDRシステムの一部設定が変更されていたことも判明した。事件直前に特定の端末群（奇しくも中島のPCが含まれる）の監視モードを一時的に緩和するポリシーが適用されていたのだ。この変更は社内IT部門の誰かが意図的に行わなければならない。

「内部犯がいる…。」田島が息を呑んで呟く。山崎も無言で頷いた。証拠はまだ状況的なものだが、内部協力者の存在を強く示唆していた。

山崎たちは社内の関係者に極秘で聞き取りを開始した。EDR設定を変更できる権限を持つのは数名のIT管理者のみであり、その中の一人が事件当夜に妙な動きをしていたことが確認された。ログによれば、ITインフラ担当マネージャーの佐藤のアカウントから、深夜1時半頃にEDRシステムへ管理者ログインがあり、短時間で複数の設定変更が行われていた。佐藤は「自分はそんな操作をしていない。オフィスにもいなかった」と主張したが、彼の発言には不自然な点があった。その時間帯、佐藤は会社支給のスマートフォンでVPN接続していた形跡があり、自宅から社内ネットワークにアクセスしていた可能性が高い。しかも、その接続先IPは、先に検出された攻撃者のC2サーバと同一の国のプロバイダだったことがわかった。

決定的な証拠を掴むため、山崎は慎重に動いた。佐藤の社用PCや通信履歴を法的に問題ない範囲で調査すべく、彼の上司の協力を得てデバイスを確保した。さらに、必要に応じて警察やデジタル・フォレンジックの専門家とも連携できるよう準備を整える。そして迎えた佐藤への事情聴取の場。人事部とコンプライアンス担当も同席し、山崎が口火を切った。

「佐藤さん、今回のインシデントに関連していくつか確認させてください。深夜にEDRの設定を変更した件ですが…」山崎が淡々と事実を突きつけると、佐藤の顔色がみるみる青ざめていく。「私は…何も…」と口ごもるが、提示されたログ証拠を前に言葉を失った。しばしの沈黙の後、佐藤は観念したようにぽつりぽつりと語り始めた。「…私は、ただ…お金に困っていたんです。」

彼は数年前から抱えていた多額の負債を返済するため、何者かの誘いに乗ってしまったという。最初は競合企業の内部資料を渡す程度だったが、エスカレートして今回のようなサイバー攻撃への内通を迫られたと打ち明けた。国家に支援された産業スパイ組織がバックにいるとも知らず、安易に引き返せない道に踏み込んでしまったのだ。

佐藤の告白に室内は重苦しい空気に包まれた。山崎は苦渋の表情を浮かべつつも、「協力ありがとう。君の行為は重大だが、自首という形で当局に事実を話すなら情状を考慮してもらえるかもしれない」と静かに告げた。佐藤は涙を浮かべ、うなだれながら頷いた。

内通者の存在が明らかになったことで、攻撃の全貌はさらにクリアになった。攻撃者は佐藤を通じて事前に内部ネットワークの情報やセキュリティの隙を把握し、当夜は彼にEDR緩和などの裏工作をさせた上で、一気呵成にクラウド環境への攻撃を実行したのだった。山崎は深く息を吐いた。困難な局面だったが、企業内部の裏切りという暗部をも表に出せたことは、今後の再発防止に向けて重要な一歩となるだろう。

第5章　復旧への闘い

攻撃の全容を把握したとはいえ、東亜製薬にとって真の試練はここからだった。暗号化されアクセス不能となったシステムやデータをいかに復旧するかという課題が残っている。ランサムウェアはクラウド上のバックアップまでも消し去っており、身代金を支払わなければデータを取り戻せないよう巧妙に仕組まれていた。

しかし山崎とチームは身代金支払いという選択肢を初めから排除していた。攻撃者は国家支援のAPTであり、たとえ金銭を渡してもデータが戻る保証はなく、今後さらなる要求を誘発する恐れもある。何より、患者や治験に協力してくれた人々の個人情報や貴重な研究データを人質に取られたからといって犯罪者に譲歩するわけにはいかないという強い信念があった。

復旧作業はまずシステムのクリーン化から始まった。感染した端末やサーバ、IoTデバイスの一つひとつを丁寧にチェックし、マルウェアの痕跡を除去していく。Azure上では、全てのVMイメージとコンテナに対し最新のスキャンをかけ、不要なものは削除して再構築を行った。IoTデバイスについては、メーカーの協力を仰ぎファームウェアを再フラッシュする作業が進められた。ICSのPLC群も初期化と安全確認が行われ、外部から与えられた不審な設定が残っていないか綿密に検証された。

データの復元については、幸いいくつかの希望の光があった。まず、Azureとは別に隔週でオフライン保管していたバックアップドライブが直近分だけ残っていたことが判明した。それは物理的に社外の金庫に保管していたもので、攻撃者の手は届かなかったのだ。ただし、それに含まれるデータは最新ではなく、一部の試験データは攻撃発生以降に更新された分が抜け落ちてしまう。また、研究員たちの協力で、暗号化を免れたデータ断片や印刷して保管していた書類から、一部の結果を再入力する作業も始まった。臨床試験の世界では紙の記録も依然重要であり、幸運なことに重要プロトコルの変更履歴などは紙でも残されていた。

クラウド上のデータ復旧は困難を極めたが、東亜製薬のグローバルITチームからの支援も功を奏した。海外拠点で共有されていたデータや、開発部門が別途コピーを保管していた分子構造データなど、いくつかの情報は他経路から補完できた。また、Microsoftからセキュリティインシデント対応の専門家が派遣され、Azure環境の徹底的な診断と、場合によっては内部で隠れていた攻撃者の残留物（バックドア）の除去を手伝ってくれた。ゼロトラストを掲げる同社の設計思想を踏まえ、再認証と信頼性検証をすべてのデバイスとアカウントで実施し、必要な証明書やシークレットは総ざらいでローテーション（再発行）された。

復旧作業の傍ら、山崎は法務顧問としての役割も果たしていた。まず、このインシデントに関する情報開示と届出だ。患者の個人情報と治験データの漏洩リスクがある以上、日本の個人情報保護法や薬事関連の規制に則り、監督官庁や個人情報保護委員会への報告が必要となる。山崎は経営陣と協議し、事故の一次報告書を迅速に取りまとめた。そこには判明している事実関係、影響範囲、そして今後講じる対策が盛り込まれた。社内政治的には、情報公開に消極的な声も一部にはあったが、「隠蔽は許されない」という山崎の毅然とした意見に経営トップも同意し、公正な対応が貫かれた。

治験の監督機関への説明も急務だった。データの一部消失や改ざん未遂が発生したことは、治験の信頼性にかかわる重大事である。山崎は研究責任者たちと協力し、今後の治験計画の見直しと再発防止策について緊急会議を開催した。必要に応じて、一部の治験データ取得をやり直すことも検討されたが、幸い主要な結果については無事だったデータや紙記録、あるいは攻撃前に関係機関と共有済みの中間報告データなどから再構築が可能であることが分かってきた。これにより、プロジェクト全体の大幅な遅延は避けられる見通しとなった。

社内では復旧にあわせてセキュリティ対策の強化策が次々と実行に移された。まず、内部不正の再発防止として、重要システムに対するアクセス権の見直しとモニタリングが強化された。特権アカウントへのアクセスはより厳格に管理され、多要素認証はもちろん、動的に権限を付与するJust-In-Timeアクセスが導入された。またMicrosoft Sentinel上のUEBA機能も設定を再調整し、従業員やデバイスの行動における微かな異常も見逃さない態勢を整えた。Zero Trustアーキテクチャも再評価され、ネットワークセグメント間の通信制御やマイクロセグメンテーションをさらに細分化し、たとえ内部に攻撃者が入り込んでも横展開を最小限に抑えられるよう設計を強化した。

夜が明けてから二日がかりの奮闘の末、主要なシステムは何とか復旧の目処が立った。復旧チームの面々は疲労困憊しつつも、サーバが再び正常稼働し、患者モニターが通常通りデータを送信し始めた画面を見て安堵の息を漏らした。山崎も深夜から付ききりで指揮を執っていたが、その姿勢は終始冷静だった。彼はコーヒーカップを置き、静かに「皆、お疲れ様。だがもうひとつ大事な仕事が残っている。それは、この攻撃者たちに相応の報いを受けさせることだ」と語りかけた。チームの誰もが頷いた。事件は収束に向かいつつあったが、まだ終わってはいない——攻撃の黒幕を突き止め、然るべき責任を追及するフェーズが残されていた。

第6章　攻撃者の正体

システム復旧と内部犯の対処が一段落すると、東亜製薬と当局は攻撃者の追跡に本格的に乗り出した。社内の調査チームに加え、警視庁サイバー犯罪対策課や情報セキュリティ専門機関、さらにはインテリジェンス機関とも連携が図られた。山崎は法的観点から証拠の共有や解析に携わり、必要に応じて捜査令状の取得支援なども行った。

まず、技術的な手がかりから攻撃元の洗い出しが進められた。攻撃で使用されたランサムウェアのコードは完全な新種と見られていたが、セキュリティ企業のマルウェア分析ラボとの協力で解析が進んだ。その結果、いくつかのプログラム構造や暗号化手法に特定のグループの過去のマルウェアと類似点があることが判明した。特に通信プロトコルの一部や、コード内に埋め込まれた文字列（暗号鍵の生成ロジックなど）に、以前から医療業界を狙ったAPT攻撃で知られるパターンが見つかったのだ。

ネットワーク経路の追跡も大きな成果を上げた。東亜製薬のネットワークから外部に送信されたデータの行方を追うため、ISPやクラウドプロバイダの協力を取り付け、ログやトラフィックの解析を行った。暗号化されてはいたものの、大量のデータが送られた先の一つは、中継サーバとして東南アジアの某国にあるホスティング業者のIPアドレスだった。さらに国際的な連携により、その先の最終的なデータ行き先は、国家的な製薬企業の研究所ネットワークと関係がある可能性が浮上した。その企業は東亜製薬が進めていた新薬と同じ分野で開発競争を繰り広げている海外の大手であり、以前から産業スパイの疑惑が囁かれていた所でもあった。

佐藤の供述からも有力な情報が得られた。彼に接触してきた仲介者は表向きは国際コンサルタントを名乗っていたが、実際には外国企業と繋がりの深いエージェントだったことが判明した。山崎は捜査当局とともに、この仲介者の通信履歴や渡航履歴を洗い出し、背後にある組織を特定する手掛かりをつかんでいった。それらを総合すると、今回のAPT攻撃は特定の国の情報機関が関与するグループによるものであり、その標的となったデータはまさに東亜製薬の競合企業が喉から手が出るほど欲していた新薬関連の極秘情報だった。

これらの証拠をもとに、日本政府は外交ルートを通じて関係国に対し厳重な抗議と説明要求を行った。同時に、警視庁は佐藤を含む関係者を国内法で起訴する準備を進め、国際手配も視野に入れた捜査を続行した。残念ながら、実行犯たちが海外の政府に守られた存在である以上、直接の法的措置には困難が伴った。それでも、今回得られた詳細な攻撃手法の分析やIoC（Indicators of Compromise）は国内外のセキュリティコミュニティで共有され、今後同様の手口を使おうとする攻撃者への対策強化につながっていった。

東亜製薬内部でも、盗まれた研究データの流出先について情報収集が続けられた。もし競合他社が不正に入手したデータを元に製品化や特許出願を企図すれば、法廷で争う準備ができている。山崎は国際弁護士とも連携し、そうした場合に備えた法的戦略を練り始めた。幸い、研究データには電子署名と改ざん検知の仕組みが組み込まれており、どの時点で誰が正当な取得者かを証明できる体制があった。盗み出されたデータが後に不正に利用されたとしても、その出所が東亜製薬のものであることを立証する手札は揃えてある。

やがて、国際的な調査報告書により、この事件は「国家支援型APTグループによる製薬企業へのサイバー攻撃」として公式に記録された。グループの具体名こそ外交的配慮から伏せられたが、その手口と目的は広く共有され、産業スパイ行為への強い警鐘が鳴らされた。山崎はその報告書に目を通しながら、静かに拳を握った。自らが対応に奔走した事件が、単なる一企業の災難ではなく、サイバー空間における国家間の闘争の一端であったことをあらためて噛み締める瞬間だった。

第7章　収束と教訓

事件から数週間後、東亜製薬の臨床試験センターは徐々に日常を取り戻しつつあった。暗号化されたシステムは大部分が復旧され、治験も再開に漕ぎ着けた。患者への影響は最小限に抑えられ、重要な治験データも大事には至らなかったことが確認され、関係者は胸を撫で下ろした。社内では、この未曾有のサイバーインシデントを教訓とし、再発防止に向けた改革が進行している。

山崎は臨時に編成された対策委員会の席上で、静かに最終報告を述べた。「今回の攻撃は高度で組織的なものであり、我々の想定を上回るものでした。しかし、適切な初動と粘り強い対応によって、最悪の事態は回避できました。」委員たちは真剣な面持ちで耳を傾けている。山崎は続けた。「技術的対策だけでなく、内部統制や社員教育の重要性も痛感しました。ゼロトラストの概念に立ち返り、『誰も信用しない』前提でのチェック体制を一層強化します。また、内部不正を見抜くためのモニタリングやホットライン制度の拡充、社員への倫理教育も推進していきましょう。」

佐藤の内部犯行については社内外に大きな衝撃を与えたものの、迅速な摘発により被害拡大は食い止められた。彼には法的な処分が下される見込みであり、社内規程に則って懲戒解雇とされた。その過程で、社員のメンタルケアや内部通報制度の在り方についても議論がなされた。「困窮や不満を抱えた社員が外部勢力につけ込まれないよう、組織として支援を手厚くする必要があります」と山崎は提言し、経営陣もうなずいた。

グローバル企業として、海外拠点にも今回の事件の詳細と対策は共有された。各国のIT部門がオンライン会議で集結し、インシデント対応のプロセスや学んだ教訓をディスカッションする機会も設けられた。世界的にサイバー攻撃が増大する中、情報共有と協力体制が極めて重要だと全員が再認識した。

エントランスホールでは、復旧に尽力した社員たちに向けて社長から感謝状が贈られていた。山崎も一歩前に進み、壇上で社長から握手を求められる。「君の冷静な指揮と専門知識が我々を救ってくれた。ありがとう。」そう称賛され、山崎は控えめに頭を下げた。彼は「皆の協力があってこそ乗り越えられました」と答え、チーム全員に視線を送りながら穏やかに微笑んだ。

こうして事件はひとまずの収束を迎えた。しかし、山崎の戦いは終わりではない。彼は社内ネットワークの新たな監視レポートに目を通しながら、自身のメモ帳に一言書き添えた——「油断禁物」。サイバーセキュリティの脅威は日々進化する。ゼロトラストの姿勢を貫きつつ、常に備えを怠らないこと。それが今回の事件が突きつけた最も重要な教訓だった。山崎はオフィスの窓から朝日に染まる空を見上げ、次なる挑戦にも冷静に立ち向かう決意を新たにした。