寒灯の往復 — 交換サーバの春（長編フィクション）

— 2021年「Microsoft Exchange（ProxyLogon：CVE‑2021‑26855 ほか）ゼロデイ連鎖→Webシェル設置→横展開→一斉パッチとED 21‑02」を骨格にした創作

00｜木曜 05:42　灰色の受信箱

白波（しらなみ）市役所・情報政策課。夏芽は、夜間バッチの終わりに職員相談窓口のメールが未読のまま増え続けているのを見た。Exchangeのダッシュボードは緑だ。CPUは波を打たず、ディスクは規則的。なのに、/owa のログ端で聞き覚えのない問合せが静かに連続している。X-Forwarded-Forに意味のない数字列、User-Agentは古い携帯を名乗る。「外の誰かが“ここにいるか”を確かめている。」夏芽は山崎行政書士事務所の短縮を押した。

01｜06:01　“止める／伝える／回す”

静岡・山崎行政書士事務所。ホワイトボードに**律斗（りつと）**が三行を書く。

止める／伝える／回す

• 止める：公開しているExchange（/owa, /ecp）の外向きを白リスト以外遮断。IISログとメモリを電源を落とさず保全。バックアップはオフラインに分離。調査用ミラーで受信を一時転送。

• 伝える：三文の一次報を首長・局長・各課へ。“確認された事実”（不審アクセスの連続）と**“可能性（仮説）”（Exchangeの既知／未知脆弱性の悪用）を段落で分け、正午／17時の更新時刻を約束**。**「支払い先変更メールは無効」**を一文目に。

• 回す：住民対応はFAX／専用フォーム（静的）に仮移行。議会・監査向けは専用回線で遅いけど確実に回す。

りなが補う。「72時間の法の時計を同時に回します。“声は鍵”（折り返し＋二名承認）を全部門へ。」

奏汰（そうた）は構成図に赤を走らせた。「外からの短い呼吸→サーバ側での差し替え→Webシェルという筋が濃い。ProxyLogon級の連鎖だとしたら、“画面は平穏”のうちに中へ手が届く。」悠真（ゆうま）が短く言う。「“読むだけで通る”タイプの入口。痕はIISの裏に薄く落ちる。」

ふみかが一次報の三文を置く。

受付カウンターの白い猫のマスコット（やまにゃん）が、しっぽのType‑Cを小さく光らせる。札には太い字で、

02｜07:12　「そこ」に置かれた紙片

IISログを反復するうち、普段は触らない仮想ディレクトリに小さな影が落ちた。検疫端末で開くと、英単語一つ分の薄いファイル名。拡張子はASPX。中身は鍵の箱に似た空洞で、“何でもできる入口”の骨だけが並ぶ。悠真が言う。「Webシェル。“呼べば応える”が入ってる。“外の声”が通っているなら、次は中を見に来る。」

03｜08:05　四つの数字

蓮斗（れんと）が白板に数字を書く。

• MTTD（検知）：31分（不審な短い呼吸→IIS裏の影）

• 一次封じ込め：57分（遮断／受信ミラー／証跡保全）

• Webシェル：1点（隔離）、設置時刻は深夜

• 外向き不審通信：ゼロ（現時点）

律斗は短く言う。「勝ってはいない。**“間に合っている”**だけだ。」

04｜09:10　“誰が読めば通るか”

奏汰はパッチ一覧を開き、未適用の四つの番号に赤を引いた。CVE‑2021‑26855／‑26857／‑26858／‑27065。「入口は外からの読み取り（SSRF）、奥は書込み。連鎖で通して、置いて、呼ぶ。だから“全部”が必要。」りなは広報台本に二段落を置く。

• 確認された事実：公開Exchangeでの不審連続アクセス、Webシェル1点の隔離、受信ミラー、遮断、証跡保全。

• 未確定（継続調査）：第三者提供の有無・範囲、初期侵入時刻の確定、横展開の有無。

「混ぜない。事実と可能性を同じ文に置かない。」りな。

05｜正午　一次報

ふみかが読み上げ、りなが段落を整える。

怒号はない。時刻が不安の終わりを作る。

06｜13:20　春の非常通達

中央省庁から非常通達が走る。「本日中にパッチ／回避を実施。侵害兆候の確認。監査ログの保全。」ED 21‑02の文言は市町村にまで届く。奏汰は空の箱を準備する。「再インストールではなく**“引っ越し”。自動更新は切らず**、“Exchange関連のみ階段”。白リストで外を短く。」

やまにゃんの札が光る。

07｜15:05　“外”の静けさ、“中”の点検

ProcDumpやPowerShellの痕跡はない。しかし、既定パスに置きたがる癖は世界で報告されている。悠真は**aspnet_clientの奥と一時領域を足で探す**（自動は信じすぎない）。外は静かだが、中の点検は人の10分が要る。

蓮斗の数字が更新される。

• 追加のWebシェル：ゼロ

• 侵害範囲：公開Exchangeのみ（AD横展開兆候なし）

• 受信遅延：平均 11分

• 例外期限遵守率：98%

08｜17:00　二次報

律斗はペン先で小さな丸を描く。「一次封じ込めは完了。残すのは手順と地図だ。」

09｜翌朝 06:35　“Dear…”という手紙

世界では**「DearCry」の便りが届いた組織も出ていた。こちらは鍵を渡していないし、扉も閉じた。夏芽は**“遅いけど確実”のメモを端末に貼り**、復帰の階段を一段ずつ上った。

10｜正午　三つの時計

講堂に三つの時計が並ぶ。

1. 現場の時間（メール・住民対応・議会）

2. 規制の時間（72時間）

3. 経営の時間（信頼・費用・再発防止）

りなは三行で締める。

蓮斗の数字。

• MTTD：31分 → 12分（外向き短い呼吸の常設監視）

• 一次封じ込め：57分 → 33分

• メール遅延：平均 3分（平常域）

• 常時特権：ゼロ（JIT化）

やまにゃんは今日も受付で小さく光り、札には変わらない。

白波市の受信箱は戻り、Exchangeは空の箱で静かに歌い直した。“読むだけで通る”入口に紙と声の鍵を足したとき、春はやっと来た。

—— 完

参考リンク（URLべた張り／事実ベース・一次情報／主要公的通達・技術解説）

※本作はフィクションですが、骨格（ProxyLogon 連鎖：CVE‑2021‑26855/‑26857/‑26858/‑27065、Webシェル設置、ED 21‑02、DearCry派生、ベンダ通達と対処階段）は以下を参照しています。

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/https://msrc.microsoft.com/blog/2021/03/multiple-security-updates-for-exchange-server/https://www.cisa.gov/news-events/directives/emergency-directive-21-02https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-062ahttps://www.volexity.com/blog/2021/03/02/operation-exchange-marauder-active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/https://www.welivesecurity.com/2021/03/10/microsoft-exchange-servers-under-attack/https://www.justice.gov/opa/pr/court-authorized-fbi-operation-removed-malicious-web-shells-compromised-microsoft-exchange-servershttps://nvd.nist.gov/vuln/detail/CVE-2021-26855https://nvd.nist.gov/vuln/detail/CVE-2021-26857https://nvd.nist.gov/vuln/detail/CVE-2021-26858https://nvd.nist.gov/vuln/detail/CVE-2021-27065https://www.microsoft.com/security/blog/2021/03/12/dearcyransomware-exploiting-microsoft-exchange-server-vulnerabilities/