真昼のトリップ — 安全計装の午後(長編フィクション)
- 山崎行政書士事務所
- 9月15日
- 読了時間: 7分
— 2017年に明らかになった安全計装システム(SIS)狙いの「TRITON/TRISIS/HatMan」事案を骨格にした物語
00|14:07 真昼の停止
白波石化・南岸プラント。常圧蒸留の塔は、昼の陽炎を背に淡く震えていた。運転卓に座る千佳の前で、アラームパネルが緑から黄色、そして赤へ、まるで決められた順番のように色を変えた。
SIS Trip — Loop 3 / Loop 7 / Loop 9Cause: Invalid Application State
計装の数字は平穏に見える。圧力も温度も、許容内だ。「現場の物理値が荒れてないのに、SISが落とした?」千佳は異常停止の手順を読み上げ、安全停止を受け入れる。止めることは負けではない。電話が鳴る。「山崎行政書士事務所につないで。」
01|14:26 “止める/伝える/回す”
静岡・山崎行政書士事務所。ホワイトボードに**律斗(りつと)**が三行を書く。
止める/伝える/回す
止める:SIS網とDCS網を物理で分離。SISエンジニアリングワークステーション(EWS)は電源を落とさず、ネットワークから外す。プラントは安全停止を継続。
伝える:三文で所内・所管・周辺事業者に同報。“確認された事実”と“可能性(仮説)”を段落で分け、更新の時刻(正時/17時)を必ず書く。
回す:塔内の滞留物は手順書どおりに順次移送。保安と消防は強化巡回。遅いけど確実に。
りながうなずく。「72時間の法の時計を同時に回します。“支払い先変更メールは無効”の一文は最初に。」
奏汰(そうた)は配線図に赤を走らせる。「SISのトライコネックス側が不正な状態で落ちた。工程の乱れじゃない。誰かがSISに話しかけている。」
悠真(ゆうま)は短く言う。「“安全”に触る手口だ。普段見ないタイプ。」
ふみかが一次報を置く。
現状:SISの異常トリップを検知。プラントは安全停止、SIS/DCSの分離と証跡保全を実施中。対応:順次移送と監視強化で安全を優先。正時および17時に更新。お願い:“支払い先変更”などメールのみの依頼は無効。必ず電話の二重確認を。
受付カウンターの白い猫のマスコット(やまにゃん)が、しっぽのType‑Cを小さく光らせる。札には油性ペンで、こうある。
「遅いけど確実。」
02|15:03 鍵穴の外側から
計装室の片隅。SISのEWSの画面には、トライステーションのウィンドウが開きっぱなしになっていた。“RUN/PROG”キーはRUNで固定——のはずだ。けれど、ログには**“プログラムモードへの遷移”が瞬間的**に記録されている。誰の手も触れていない時間に。
「キーを回していないのに、“書き込み”の履歴?」千佳が目を凝らす。悠真が指差す。「EWSとSISの間に、余計な会話がある。」
蓮斗(れんと)が四つの数字を置く。
MTTD(検知):11分(運転卓でのSISトリップから)
一次封じ込め:32分(SIS/DCS分離・EWS隔離)
安全計装ループ影響:3/11(再評価中)
外向き通信:ゼロ(遮断後)
律斗は短く言う。「勝ってはいない。**“間に合っている”**だけだ。」
03|15:58 “丁寧すぎる”細工
EWSには見慣れないサービスが一つ。“診断補助”を名乗るが、署名が曖昧で、時刻は昨日の夜。プロセスの呼吸はSISの方言をかすかに帯びている。安全計装のコンパイラや通信を知っている手だ。
奏汰がつぶやく。「トライコネックスの**“言葉”を話せる何か。SISに自分の段ボールを入れようとした形跡。」悠真が補う。「入れ替えに失敗してトリップしたのかもしれない。結果としては安全側**に倒れてくれた。」
りなはPPC向けのドラフトを二段落で整える。
確認された事実:SISの異常トリップ、SIS/DCSの分離、EWS隔離、不審サービスの存在、外向き遮断。
未確定(継続調査):第三者提供の有無・範囲、SISロジック改変の成否、初期侵入経路。
「混ぜない。事実と可能性を同じ文に置かない。」
04|16:40 “安全のための遅さ”を敷く
塔は冷え、圧力は安定。現場巡回は二人一組、口頭復唱で指差呼称。保守はSIF(Safety Instrumented Function)ごとに書面で照合し、“黄金のロジック”と現物の差分を取る。孤島化したEWSからは、USBの一方向に証跡が落ちていく。
受付にはやまにゃん。札は、やはりこうだ。
「遅いけど確実。」
05|17:00 二次報
ふみかが読み上げ、りなが段落を整える。
封じ込め:SIS/DCS分離、EWS隔離、外向き遮断、証跡の一方向保全。安全側停止を維持。影響(現時点):製造は停止中。第三者提供の確証なし(継続調査)。次:夜間にSISロジックの完全照合と**“鍵束”の職務分割**(書く鍵/読む鍵/運転の鍵)。72時間の報告線を維持。
律斗はペン先で小さな丸を描く。「一次封じ込めは完了。残すのは手順と地図だ。」
06|19:35 鍵束を三つに
管理者権限は職務で切り分け、全部の鍵束は誰にも渡さない。SISの書込みは二名承認+現場立会い、キーはRUN固定、物理施錠。DCS→SISは片方向の参照のみ。双方向は禁止。例外には期限を設け、48時間で自動失効させる。
蓮斗が数字を更新する。
黄金ロジック照合:7/11完了(差分2、要調査)
不審サービス:停止・隔離、実体解析進行
外向き通信:ゼロ継続
顧客・所管通知率:100%
07|翌朝 06:20 “誰が、どの扉を開けたか”
夜勤の記録に、EWSへの遠隔の手が薄く残っていた。工程LANに置かれたメンテナンス用端末から、経路が繋がっている。「委託先の仮アカウントが放置されていた。」悠真。りなはFAQに一行を足す。
「当社は不当な要求には応じません。証跡の確保と関係機関との連携を優先します。」
支払え、公開しろ——そういう雑音はゼロではない。声は鍵にも刃にもなる。手続きという鞘に収める。
08|09:10 “安全装置を狙う”ということ
対策会議。「工程そのものではなく、安全を狙った?」所長の野尻が言う。奏汰がうなずく。「安全計装は最後の網。そこをすり抜けるような細工は、人に危険を向ける。目的が破壊かどうかは断言できないが、許せない線だ。」
千佳は塔の図面に手を置いた。「昨日の真昼に安全が働いた。あれが最後の網だと、全員で忘れない。」
09|12:00 正午の報
事実:SISの異常トリップ、SIS/DCS分離、EWS隔離、外向き遮断、黄金ロジック照合を実施。委託先アカウントの停止・棚卸し。影響(現時点):製造停止継続。第三者提供の確証なし(継続調査)。約束:17時に更新。“メールだけ”の依頼は無効、電話二重確認を。
怒号はない。時刻が不安の終わりを作る。
10|14:05 “残る影”と“戻れる速さ”
マルウェア断片の解析が進む。SISのメモリを読み書きする骨組み、専用の方言を話す口。完全に入れ替えるところまでは行っていない。障害で安全側に倒れた。復帰は**“新しい箱への引っ越し”で行う。自動更新は切り**、“人の10分会議”を必須とする。
夏芽はやまにゃんの札を撫でた。「遅いけど確実、ね。」
11|17:00 二次報(復帰計画)
封じ込め:EWSの再イメージ、SISロジックの再書込み(現場立会い)、DCS/SISの片方向参照を徹底。復帰:夜間に冷間試験→ループごとの段階復帰。“鍵束分割”と“例外の自動失効”を運用化。継続:関係機関と連携、所内訓練(“声の鍵”——折り返しと二名承認)を実施。
蓮斗の数字。
黄金ロジック照合:11/11完了(差分修正済)
EWS再イメージ:完了
冷間試験:準備完了
例外期限遵守率:98%
12|三日目 11:40 “72時間”の線
PPCへの報告が二段落で確定する。
確認された事実:SISの異常トリップ、SIS/DCS分離、EWS隔離・再イメージ、ロジック照合・再書込み、片方向参照、鍵束分割、段階復帰。
未確定(継続調査):初期侵入経路、第三者提供の有無・範囲、所外の照合結果。
千佳は、冷えた塔に手を当てた。安全は止める力だ。止めるために時間を使うことを、恥にしない。遅いけど確実は、人の最後の網を少しだけ強くする。
—— 完
参考リンク(URLべた張り/事実ベース・一次情報/技術分析・主要報道)
※本作はフィクションですが、骨格(2017年に公開されたTRITON/TRISIS/HatManの分析、安全計装システム Triconex SIS を標的とした改変の試み、SISトリップで安全側に倒れた経緯、ベンダ通知・公的分析・帰属に関する後年の発表等)は以下の資料を参照しています。
上記には Mandiant/FireEye による初報・技術解説、CISA/ICS‑CERT の分析(MAR‑17‑352‑01)、Schneider Electric(Triconex) のセキュリティ通知、Dragos の脅威グループ整理(XENOTIME/TRISIS)、DOJ の起訴情報、主要メディアの時系列記事を含みます。
コメント