梅雨の抜け道 — MOVEitの砂州（長編フィクション）

— 2023年の Progress MOVEit Transfer 0‑day悪用（CVE‑2023‑34362 ほか）→データ窃取→CL0Pによる恐喝・大量被害を骨格にした創作

00｜金曜 21:14　“受け取られているはずのない数”

蒼糸（あおいと）流通ホールディングス・情報連携室。夏芽はMOVEit Transferのダッシュボードに目を落とした。夜間配送の静けさに似合わず、送信量のグラフだけが山になっている。相手先は——どこにも登録されていない。ログの末尾で、短いPOSTが何度も返ってくる。200 OK。TLS復号ゲートは平穏。WAFは緑。ただ、人の肌だけがざわついていた。

01｜21:31　“止める／伝える／回す”

静岡・山崎行政書士事務所。ホワイトボードに**律斗（りつと）**がいつもの三行を書く。

止める／伝える／回す

• 止める：MOVEit Transferを孤島化。HTTP/HTTPSの外向きを境界でドロップ、サービス停止。OS／DBのアカウントとAPI鍵を即回転。Webルート配下の不審なASPX/JSを凍結（電源は落とさない）。

• 伝える：三文で社内／主要取引先に同報。“確認された事実”と“可能性（仮説）”を段落で分け、正午／17時の更新時刻を約束。「支払い先変更メールは無効」を最初に置く。

• 回す：夜間配送のファイル連携はSFTP（別筐体）＋紙の訂正票で遅いけど確実に継続。容量の大きい画像は後追い。

りなが補う。「72時間の法の時計も回します。“声は鍵”（折り返し＋二名承認）を窓口で発動。」

奏汰（そうた）は構成図に赤を走らせる。「MOVEitに事前認証不要のSQLiがあるとしたら、箱の中に手を突っ込まれてWebシェルを載せられる。外形は正常、中身だけ流れる。」悠真（ゆうま）は頷く。「CL0Pが“暗号化しない恐喝”の型を使うなら、窃取が主戦場。“戻す鍵”は最初からない。」

ふみかが一次報の三文を置く。

受付カウンターの白い猫のマスコット（やまにゃん）が、しっぽのType‑Cで小さく光る。札には太い字で、

02｜22:06　“人間のいないログイン”

MOVEitの監査ログには、人の指が触れていない時間に新規セッションが生まれていた。参照→列挙→圧縮→送出が数分刻みで並ぶ。夏芽はWebルートの隅に聞き覚えのないASPXを見つける。名前は健康診断みたいに無害だが、引数が鋭い。悠真が言う。「Webシェル。“健康診断ごっこ”で環境情報を抜き、好きな箱に穴を開ける。」

蓮斗（れんと）が四つの数字を掲げる。

• MTTD（検知）：17分（外向き送信の山→アラート）

• 一次封じ込め：43分（孤島化／停止／鍵回転）

• 送出イベント：夜間に多数（圧縮→送信）

• 影響推定：契約先 7社／ファイル種 3類型（継続調査）

律斗は短く言う。「勝ってはいない。**“間に合っている”**だけだ。」

03｜23:40　“支払っても戻らない”という設計

社内メッセージに恐喝文が貼られる。

りなは広報台本の骨を整える。「“事実”（送出の時刻／種類／相手）と**“可能性”（範囲の上限）を段落で分ける**。“帰属”は公的発表に合わせる。私たちは“言い切れること”**だけ言う。」

04｜翌朝 05:55　“紙と声”で回す

夜間配送は紙の訂正票とSFTPで回る。二名で復唱し、宛先とハッシュを読み合わせ、電話で折り返す。遅いが、確実だ。やまにゃんの札が小さく光る。

05｜09:20　「どこまで持って行かれたか」

DBの更新ログとMOVEitの転送ログを突き合わせる。圧縮のサイズに偏りがあり、納品データと個人情報の付随項目が混ぜられている可能性。悠真：「第三者提供の確証はまだ。でも、“可能性の線”はここ。」

りなはPPC向けのドラフトを二段落で整える。

• 確認された事実：MOVEitの不審送信、孤島化／停止、資格情報回転、SFTP＋紙運用への切替。

• 未確定（継続調査）：第三者提供の有無・範囲、送出先の特定、初期侵入時期。

「混ぜない。事実と可能性を同じ文に置かない。」りな。

06｜12:00　正午の報

ふみかが読み上げ、りなが段落を整える。

怒号はない。時刻が不安の終わりを作る。

07｜14:18　“安全版”までの階段

ベンダが安全版を出す。だが一個ではない。翌週、さらに翌週に追加の修正。奏汰は階段を作る。

1. 空の箱に新環境（自動更新停止、白リスト通信、JIT特権）

2. テストで三つの目（WAF／ログ／DNSアノマリ）

3. 最小機能で段階復帰旧環境は証跡として凍結。

蓮斗の数字が更新される。

• MTTD：17分 → 9分（外向き送信異常の閾値再設計）

• 一次封じ込め：43分 → 28分

• 通知：契約先 7/7完了

• 例外期限遵守率：98%

08｜17:00　二次報

律斗はペン先で小さな丸を描く。「一次封じ込めは完了。残すのは手順と地図だ。」

09｜数日後 07:35　“世界の同時多発”

新聞は**“世界規模でMOVEit被害”の文字で埋まり、官庁や大学**、医療、民間の連鎖が並ぶ。海外当局は勧告を出し、技術各社は検知ルールを配布。りなは三行を濃く書く。

夏芽はやまにゃんの札を指で叩く。

10｜三日目 11:40　“72時間”の線

PPCへの報告が二段落で確定する。

• 確認された事実：MOVEitの不審送信、孤島化／停止、資格情報回転、Webシェル凍結、SFTP＋紙運用、安全版の段階適用、JIT特権。

• 未確定（継続調査）：第三者提供の有無・範囲、送出先の最終確定、外部機関連携の結果。

蓮斗の数字。

• SFTP復帰率：100%

• 新環境移行：完了

• 外向き送信異常：ゼロ継続

• 例外期限遵守率：98%

11｜エピローグ　梅雨の抜け道

MOVEitの新しい箱は小さく、鍵束は三つに分けられた。“正しい更新”でも“人の10分会議”を間に入れ、自動の前後に記録と復帰線を置く。紙と声は遅い。だけど、戻れる速さはそこで生まれる。梅雨の水は砂州を回って流れ、会社は次の朝を迎えた。

—— 完

参考リンク（URLべた張り／事実ベース・一次情報／主要技術・公的整理・報道）

※物語はフィクションですが、骨格（Progress MOVEit Transfer の CVE‑2023‑34362 等の0‑day悪用→LEMERLOOT系Webシェル→大量のデータ窃取→CL0Pによる恐喝、CISA等の勧告、Microsoftの脅威分析、追加パッチの段階提供、公的機関・民間への波及）は以下に基づいています。

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158ahttps://www.progress.com/security/moveit-transferhttps://www.progress.com/blogs/moveit-transfer-critical-vulnerability-cve-2023-34362https://www.microsoft.com/security/blog/2023/06/05/0-day-exploit-in-progress-moveit-transfer-led-to-data-theft-by-lace-tempest/https://www.mandiant.com/resources/blog/zero-day-moveit-transfer-exploitedhttps://www.rapid7.com/blog/post/2023/06/01/moveit-transfer-critical-vulnerability/https://www.huntress.com/blog/rapid-response-critical-vulnerability-in-progress-moveit-transferhttps://www.reuters.com/world/us/us-energy-dept-hit-by-russia-linked-hackers-2023-06-16/https://www.progress.com/documentation/moveit-transfer/security-advisorieshttps://www.ncsc.gov.uk/news/moveit-transfer-vulnerability