白昼の待合室 — WannaCryの金曜（長編フィクション）

— 2017年「WannaCry（WannaCrypt/Wana Decrypt0r）ランサムウェア：EternalBlue（SMBv1／CVE‑2017‑0144）で感染→院内・企業ネットに急拡大→“キルスイッチ”ドメインで拡散が鈍化→NHS等の診療・業務停止→英米当局の注意喚起とのちの帰属表明」を骨格にした物語

00｜金曜 12:14　赤い窓、止まる予約

白梟（しろふくろう）医科大学病院・外来受付。夏芽が院内ヘルプデスクの電話を取る前に、受付端末の画面が赤く切り替わった。

01｜12:27　“止める／伝える／回す”

静岡・山崎行政書士事務所。ホワイトボードに**律斗（りつと）**が三行を書く。

止める／伝える／回す

• 止める：院内L3のSMB（445/TCP）を境界で全面遮断。東病棟LANを物理分割、画像診断・検査装置をオフライン島へ退避。電源は落とさず、証跡は一方向に吸い上げる。SMBv1は可能な端末から順に無効化、未対応機器は封鎖。

• 伝える：三文で院内・救急隊・地域連携先へ同報。“確認された事実”（赤画面／共有経由の拡大）と**“可能性（仮説）”（EternalBlue等のSMB脆弱性連鎖）を段落で分け、正時／17時の更新時刻**を約束。「支払い先変更メールは無効」を冒頭に置く。

• 回す：受付は紙カルテ、検体搬送は人走り、読影は電話復唱へ。救急は一部受入制限し周辺病院へ分散。——遅いけど確実に回す。

りなが頷く。「72時間の法の時計を回します。“声は鍵”（折り返し＋二名承認）を窓口で。」

奏汰（そうた）はトポロジに赤を走らせる。「EternalBlue（SMBv1／CVE‑2017‑0144）で最初の一歩、認証情報奪取やDoublePulsarで二歩目。“自走”するから端末が止め切れない。」悠真（ゆうま）が短く足す。「“身代金を払えば戻る”設計とは限らない。今は広げないが最優先。」

ふみかが一次報の三文を置く。

受付の白い猫のマスコット（やまにゃん）が、しっぽのType‑Cを小さく光らせた。札には太い字。

02｜13:03　“意味のない”長いドメイン

DNSの統計に、見たことのない長い名前が間欠的に並んだ。夏芽は眉をひそめる。「誰かが“水槽の水位”を測ってる。」りながメモに走り書きする。「世界で同時多発の兆し。キルスイッチの噂が上がり始めた。」

蓮斗（れんと）が四つの数字を書く。

• MTTD（検知）：13分（赤画面→共有遮断）

• 一次封じ込め：36分（SMB遮断／分割／退避）

• 感染端末：約180台／約1,200台中（初動）

• 受入影響：救急一部制限／外来予約 −60%

律斗は短く言う。「勝ってはいない。**“間に合っている”**だけだ。」

03｜14:20　紙と声の病院

外来は紙カルテに戻り、検体は手で運ばれる。読影は電話で復唱、合併症リスクのチェックリストは手書きで回る。遅いが、戻れる速さはここからしか生まれない。

やまにゃんの札が光る。

04｜15:05　“パッチは三月、今日が五月”

MS17‑010の配布は三月。だが、医療機器はベンダの承認が必要で止められていた。古い端末はSMBv1が既定で有効、検証を理由に後回しになっていた。奏汰は空の箱を立ち上げ、既知良品だけを最小限で載せる。古い機器は物理的に別の島に縛る。

05｜16:10　“止まる”という救い

世界の向こうで、若い研究者が長いドメインを**“受け止める”（シンクホール）ことで、新規の拡散にブレーキがかかったと技術スレが伝える。院内の火はまだある**。けれど、外からの風は弱まった。悠真は感染端末のボリュームを凍結し、新しい箱にデータを引っ越す準備をする。

06｜17:00　二次報

蓮斗の数字。

• MTTD：13分 → 7分（**“赤画面／SMBスパイク”**の常設検知）

• 一次封じ込め：36分 → 23分

• 常時特権：ゼロ（JIT化）

• 例外期限遵守率：98%

07｜夜　古い機械の都合、患者の時間

XP世代の検査装置はパッチが当たらない。りなは患者の時間を優先し、代替検査の搬送線を紙で作る。夏芽は古い島に監視だけの細い光を残し、人の出入りに二名承認を付ける。

08｜翌朝 08:20　「世界の同時多発」

政府機関が注意喚起を出し、“SMBv1を切る／MS17‑010を適用／バックアップを保全”を呼びかける。欧州の警察機関はフォレンジック支援を表明。報道はNHS等の診療停止と大量の予約キャンセルを数え上げる。帰属の話は私たちが言わない。公的発表に歩調を合わせる。私たちは**“何が起き、何を止め、どう戻したか”を時刻**で言う。

09｜三日目 11:40　“72時間”の線

所管への報告が二段落で確定する。

• 確認された事実：赤画面の一斉出現、SMB遮断／分割／退避、キルスイッチ効果、MS17‑010適用／SMBv1無効化、紙運用での継続。

• 未確定（継続調査）：第三者提供の有無・範囲（臨床データは暗号化・消失のみか）、外部機関連携の最終結果。

講堂に三つの時計が並ぶ。

1. 現場の時間（外来・検査・救急）

2. 規制の時間（72時間）

3. 経営の時間（信頼・補償・再発防止）

りなは三行で締める。

10｜数か月後　紙を残す設計

院内ネットは新しい箱で歌い直し、SMBv1は全廃。バックアップはWORMの二経路、署名だけでは通さない（署名＋再現）が採用基準になった。救急の机には薄い紙束が残る。やまにゃんの札は今日も静かに光る。

—— 完

参考リンク（URLべた張り／事実ベース・一次情報／主要公的通達・技術解説・報道）

※物語はフィクションですが、骨格（WannaCry の SMBv1／CVE‑2017‑0144 を突く拡散、キルスイッチによる鈍化、NHS等の混乱、MS17‑010とSMBv1無効化の勧告、のちの帰属表明）は以下に基づいています。

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2017-0144https://www.microsoft.com/security/blog/2017/05/12/customer-guidance-for-wannacrypt-attacks/https://www.cisa.gov/news-events/alerts/2017/05/12/ransomware-wannacryhttps://www.ncsc.gov.uk/guidance/wannacry-ransomware-campaignhttps://www.europol.europa.eu/operations-services-and-innovation/operations/wannacry-ransomware-attackhttps://www.nao.org.uk/reports/investigation-wannacry-cyber-attack-and-the-nhs/https://www.bbc.com/news/health-39899646https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attack.htmlhttps://securelist.com/wannacry-factsheet-and-timeline/78870/https://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-two-major-cyber-attacks