冬の書架 — 交換所（エクスチェンジ）の夜（長編フィクション）

— 2021年「Microsoft Exchange on‑premises 脆弱性（通称 ProxyLogon）」大量悪用を骨格にした創作

00｜金曜 20:11　“メールが重い”という小さなSOS

青嶺（あおね）市役所・デジタル基盤課。夏芽は、夜間保守の合間に受信ボックスの遅延を問い合わせた住民課のメッセージを読み直した。Webメールの読み込みが時々、ひどく重い。監視盤ではCPUが短い山を作り、IISのログに見慣れないリクエストが混じる。/owa/ の向こうで、別の扉が開閉している気配。

夏芽は、山崎行政書士事務所のショートカットを叩いた。

01｜20:46　“止める／伝える／回す”

静岡・山崎行政書士事務所。ホワイトボードに**律斗（りつと）**が三行だけ書く。

止める／伝える／回す

• 止める：外向き443の受け口を一旦絞る。公開Exchangeを孤島化（NICと境界で宛先ドロップ）。証跡は一方向に吸い上げ、“自動で直す”は封印。

• 伝える：三文で庁内・主要部局へ。“事実”と“可能性”を段落で分け、時刻（正午／17時）を約束。

• 回す：暫定メール運用は代替ドメイン＋紙。重要案件は電話復唱＋二名承認で回す。遅いけど確実に。

りなが付け足す。「72時間の法の時計を回します。“支払い先変更メールは無効”は最初の三文に入れて。」

奏汰（そうた）は構成図をにらむ。「Exchange on‑premの外に穴。通称 ProxyLogon。外から裏口を作って中へ、殻の内側で好きなことをする——そんな筋書き。」

悠真（ゆうま）は画面の光を細める。「Webシェルの匂い。aspnet_clientの片隅に薄い影が見える。」

ふみかが三文を置く。

「時刻は安心の枠。」りなが赤で丸をつけた。

02｜21:33　“静かな侵入”の音

IISのログを束ねると、数日前から奇妙な呼気があった。短いURI、長い沈黙、唐突な200。悠真が指先で机を叩く。「サーバ側リクエスト（SSRF）を踏み台に裏口を差し込む手。書き込みの痕が今夜の時刻で立ってる。」

蓮斗（れんと）が四つの数字を掲げる。

• MTTD（検知）：31分

• 一次封じ込め：47分（孤島化・受け口絞り）

• 外向き転送規模：微（遮断後はゼロ継続）

• 既存の“転送ルール”：2件／外部宛（無効化）

律斗は短く言う。「勝ってはいない。**“間に合っている”**だけだ。」

03｜22:18　“画面の向こうの手”を切る

Exchangeの箱は生きている。だが中に薄い手が残る。奏汰は隔離したコピーで緊急緩和ツールを走らせる。「ベンダの一括緩和で受け口を仮封、既知の影を叩く。本番更新は検証して階段で。」

陽翔（はると）は庁内に流す。「代替ドメインは今夜中に主要部局へ。緊急案件は電話復唱で落とさない。」

受付には白い猫のマスコットが置かれた。しっぽはUSB Type‑C。札には、太い字でこうある。

04｜23:52　“逃がさない”ための遅さ

ログは1分で分割され、二経路に抜かれる。メモリの影も凍結して別の箱へ。りなはPPC向けのドラフトを二段落で整える。

• 確認された事実：公開メールサーバに不審な操作痕、孤島化と受け口縮小、緊急緩和、転送ルール無効化、代替運用の開始。

• 未確定（継続調査）：第三者提供の有無と範囲、侵入の初期時期、影響。

「混ぜない。事実と可能性を同じ文に入れない。」りな。

05｜翌朝 06:25　冬の書架を並べ替える

庁舎が白む。代替ドメインは庁内の骨を保ち、市民窓口には掲示が立つ。

奏汰は本番で安全版の階段更新を始める。一気ではなく段で。戻れる速さを残すために。

06｜09:40　「鍵束」を分ける

管理者権限は職務で切り分けられ、全部の鍵束は誰にも渡さない。メール転送ルールは可視化のパネルに上がり、外部宛は**“10分会議”（担当・上長・セキュリティ）を鍵**に。

ふみかは顧客＝住民向けFAQに一行を足す。

07｜12:00　正午の報

ふみかが読み上げ、りなが段落を整える。

怒号はない。時刻が不安の終わりを作る。

08｜14:18　“第二波”の予感

セキュリティ各社から二波・三波の情報が駆け込む。最初の扉をふさぐと、別の窓から叩く者たち。悠真が言う。「既存の影を追い出し、新しい扉を閉める。ルールは**“白で書く”**。許したものだけ通す。」

蓮斗の四つの数字が更新される。

• 既知の影：3件→0

• 外向き帯域：平常

• 代替運用稼働率：92%

• 顧客（市民）問い合わせ：定型に収束

09｜17:00　二次報

律斗はペン先で小さな丸を描く。「一次封じ込め完了。残すのは手順と地図。」

10｜21:25　青いインジケータ

Exchangeは新しい箱で目を開ける。自動更新は止め、“人の10分会議”を間に挟み、白リストが門になる。ログは書換不能の保全庫へ二経路で落ち続ける。

夏芽はモニタの青を見つめる。「鳴るべきアラートが、鳴る。」

11｜二日目 08:05　“声の鍵”を練習する

コールセンターの仮想訓練。みおが攻撃者役で「端末を落として—」と声色を変える。窓口は台本どおり返す。「今の番号に折り返します。上長同席の10分会議で再登録します。」声は鍵になる。手続きで鍵穴を狭める。

12｜三日後 11:40　“72時間”の線

PPCへの報告が二段落で確定する。

• 確認された事実：公開メールサーバでの不審操作、孤島化／受け口縮小、緊急緩和・安全版の段階適用、代替運用、外部転送ルールの無効化。

• 未確定（継続調査）：第三者提供の有無と範囲、初期侵入時期。

蓮斗の数字。

• MTTD：31分 → 12分（監視窓の再設計）

• 一次封じ込め：47分 → 29分

• 代替運用→本線復帰：完了

• 例外期限遵守率：98%

りなは三行で締めくくる。

やまにゃん（白い猫のマスコット）が受付でしっぽのType‑Cを光らせる。札には変わらない一行。

冬の書架は並べ替えられた。便利の向こうに枠を置き、人と手続きでもう一度、メールを街に流し返す。

—— 完

参考リンク（URLべた張り／事実ベース・一次情報／主要技術解説）

※物語はフィクションですが、骨格（Exchange on‑prem の一連の脆弱性＝通称 ProxyLogon／大量悪用／緊急緩和と段階更新／Webシェル設置・転送ルール悪用・外向き通信抑止などの運用要点）は以下に基づいています。

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/https://www.cisa.gov/news-events/alerts/2021/03/06/microsoft-exchange-server-vulnerabilitieshttps://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-proxylogon-attacks/https://www.fireeye.com/blog/threat-research/2021/03/detection-guidance-for-microsoft-exchange-server-exploits.htmlhttps://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858https://www.microsoft.com/security/blog/2021/03/15/microsoft-releases-one-click-exchange-on-premises-mitigation-tool/