冬の遮断 — 雪明かりの変電所（長編フィクション）

— 2015年末〜2016年のウクライナ配電系統侵害（BlackEnergy/KillDisk→遠隔開閉→電話妨害→RTU/シリアル–Ethernet装置の書換→手動復旧）と2016年の“Industroyer/CRASHOVERRIDE”に見られた系統プロトコル直接操作（IEC‑104/61850 等）の事実を骨格にした創作

00｜水曜 15:12　暗くなる前の静けさ

雪沼（ゆきぬま）配電センター。夏芽はモニタのSCADA画面で、負荷曲線が平年どおりに沈み始めるのを見ていた。日の入りまで、あと一時間。警報は静か。通話線も穏やか。ただ一つ、サブ局#7の通信遅延だけが鈍く伸びている。

ログの片隅で、聞き馴染みのない管理用アカウントが夜明け前から出入りしていた記録に気づく。夏芽は山崎行政書士事務所の短縮を押した。

01｜15:26　“止める／伝える／回す”

静岡・山崎行政書士事務所。ホワイトボードに**律斗（りつと）**が三行を書く。

止める／伝える／回す

• 止める：SCADA監視網と企業ITの物理分離を再確認。遠隔制御（制御権限）は段階的に停止し、参照（読み取り）のみ残す。サブ局#7のシリアル–Ethernet変換器は即時隔離。運転所UPSの遠隔設定はローカル固定へ。

• 伝える：三文で社内／系統運用／所管へ。“事実”（不審な管理アカウントの出入り／通信遅延）と**“可能性”（過去事例にある遠隔開閉の企図）を段落で分け、正時／17時に更新を約束**。「支払い先変更メールは無効」を最初に。

• 回す：配電保守隊に手動切替の準備。現場の要員／車／鍵を雪装備で分散配置。コールセンターは電話集中を見込み臨時回線を増設。遅いけど確実に回す。

りなが頷く。「72時間の法の時計を同時に回します。“声は鍵”（折り返し＋二名承認）を全窓口で。」

奏汰（そうた）は結線図に赤を走らせた。「ITの島から制御の島へ薄い橋がある。過去の報告だと、数か月前の標的型メールで踏み石を作り、資格情報と遠隔ツールを混ぜて中へ。KillDisk系のワイパーや、シリアル–Ethernet装置のファーム書換までやる。」

悠真（ゆうま）が短く言う。「『開け』と『閉じろ』を、こちらの盤より速く出せる手が、どこかにある。」

ふみかが一次報の三文を置く。

受付の白い猫のマスコット（やまにゃん）が、しっぽのType‑Cを小さく光らせる。札には太い字で、

02｜15:47　“カチッ”が遠くで重なる

配電盤の画面で、開閉器のアイコンが一瞬灰へ——自動で戻る。夏芽の耳に、遠くのカチッという音が二重で響く。SCADAは読めるのに、押せない。誰かが別の手で押している。

「IEC‑104の口を直接しゃべってる。」悠真が言う。「こちらのHMIを通らないで、下に命令を投げてる。」

奏汰が頷く。「2016年の“あれ”に似てる。プロトコルそのものを使う刃。」

03｜16:02　四つの数字（第一次）

蓮斗（れんと）が白板に数字を書く。

• MTTD（検知）：34分（通信遅延→不審アカウント→遠隔操作兆候）

• 一次封じ込め：48分（遠隔制御停止／装置隔離／UPSローカル化）

• 自動開閉イベント：3回（再閉路で復帰）

• 通話可用性：臨時回線 2/4（一部高負荷）

律斗は短く言う。「勝ってはいない。**“間に合っている”**だけだ。」

04｜16:18　電話の海

コールセンターに波が来た。自動発信のような短い無言電話が、千の指になって受話器を塞ぐ。夏芽は、2015年末に読んだ報告書を思い出す。停電そのものよりも電話妨害が混乱を大きくした、と。

りなが臨時番号を追加し、沿線の自治体へ伝言を走らせる。「“安全確認はラジオ・広報車でも”を短文で繰り返す。」

05｜16:37　「現場へ出る」

保守隊から無線。「サブ局#7、遠隔が信用できない。現地で切る。」夏芽が返す。「フェイルセーフに沿って。二名で復唱、口頭で。」雪が踝（くるぶし）まである。手袋をした手で鍵を回し、保守隊は一巡で三か所を回った。

06｜17:03　夕暮れの刃

陽が落ちた瞬間、系統の数点が同時に**「開」になった。SCADAの点灯は追いつかない**。工場の煙突が白から黒へ、通りの信号機が点滅へ。KillDiskの痕が運転所の端末に現れ、UPSの遠隔設定が**“切”に書き換わっていた記録**が出る。

蓮斗が数字を更新する。

• 影響供給区域：3区分

• 推定影響顧客：約20万

• 平均停電時間：推定 2.5h（復旧見込み）

• 破壊的事象：端末数台でワイパー挙動、シリアル–Ethernet装置のファーム異常

夏芽は手順書の第一行を指で叩く。「手動復旧に切替。順路は黄色線。」

07｜17:20　“紙と声”の配電

地図に黄色の線が増える。保守隊が現場で切替をし、配電センターは台帳に時刻と場所を書き足していく。自動の便利さは失われた。でも、戻れる速さは、ここにある。

やまにゃんの札が光る。

08｜18:05　“薄い橋”を焼く

悠真がセグメントの境に明確な壁を作る。「IT–OT間の一方通行は監視のみ。制御の口は切る。」奏汰はシリアル–Ethernet変換器のファームを保全し、代替機を現場へ。改竄があっても戻せる線を作る。UPSは前面パネルでローカル固定。遠隔は全部「無効」。

09｜19:10　“見ていたつもり”の治しかた

監視のダッシュボードで、黄色が**“情報”扱いで流れ**ていた。りなが三つのルールを書き直す。

1. 色ではなく時刻＋責任者を結びつける（誰がいつまでに何を）。

2. 例外には期限（48時間で自動失効）。

3. “正しい操作”にも“人の10分会議”（自動の前後に記録と復帰線）。

10｜20:30　白い息と、黒い画面

保守隊は最後の区分を復旧した。SCADAの点が緑へ戻り、通りに電気が帰る。センターの端末数台は黒いまま。KillDiskは戻らない。でも、供給は戻る。

11｜翌朝 06:10　凍ったログを解かす

IISと装置のログを時系列で並べる。夜明け前に不審アカウントが動き、午後にプロトコル直接操作が動き、夕方に破壊が重なる。2015年の報告と軌跡が重なる。2016年の**“もう一段深い型”の影**も、端に見える。

りなは所管への一次報を二段落で整える。

• 確認された事実：不審アカウント、遠隔操作兆候（IEC‑104相当）、端末のワイパー挙動、UPS遠隔設定の改変ログ、シリアル–Ethernet装置のファーム異常、手動復旧。

• 未確定（継続調査）：第三者提供の有無・範囲、初期侵入時期の確定、外部機関連携の結果。

12｜正午　一次報（社外）

怒号はない。時刻が不安の終わりを作る。

13｜三日後 11:40　“72時間”の線

PPCへの報告が二段落で確定する。教訓は三行に収斂した。

蓮斗の数字。

• MTTD：34分 → 12分（系統プロトコル異常＋遅延の閾値再設計）

• 一次封じ込め：48分 → 31分

• 手動復旧訓練：全線区で完了

• 常時特権：ゼロ（JIT化）

14｜エピローグ　雪明かりの配電

雪沼の変電所は、新しい箱で小さく歌い直した。SCADAの外に**「紙と声」の道を残し、IT–OTの橋は薄く短く**、“見るだけ”にした。プロトコルに直接語りかける刃は、こちらの手順で鈍らせる。遅いけど確実——それは暗くなる前につけておく灯なのだ。

—— 完

参考リンク（URLべた張り／事実ベース・一次情報／公的整理・技術分析）

※物語はフィクションですが、骨格（2015年末のウクライナ配電停止：遠隔開閉、コールセンター電話妨害、KillDisk、シリアル–Ethernet装置の書換、手動復旧／および2016年のIndustroyer/CRASHOVERRIDE：IEC‑104/61850 等プロトコル直接操作）は下記を参照しています。

https://www.nerc.com/pa/CI/ESISAC/Documents/E-ISAC_SANS_Ukraine_DUC_5.pdfhttps://www.cisa.gov/news-events/alerts/TA16-296Ahttps://us-cert.cisa.gov/ics/alerts/IR-ALERT-H-16-056-01https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/https://www.dragos.com/blog/industry-news/crashoverride-analysis-of-the-2016-ukraine-incident/https://www.welivesecurity.com/2017/06/12/industroyer-biggest-threat-power-grids-since-stuxnet/https://www.cisa.gov/news-events/cybersecurity-advisories/aa17-296ahttps://www.us-cert.gov/sites/default/files/publications/Ukraine_DUC_5.pdf