砂時計の遠心 — エアギャップの夏（長編フィクション）

— 2010年に露見した“Stuxnet”系サイバー破壊工作（USB／複数ゼロデイ／署名偽装／PLCロジック改変→遠心分離機の異常回転→偽装監視）を骨格にした物語

00｜月曜 06:42　静かに速く、速く静かに

砂漠のふち、白陵核燃料試験センター。千佳は運転卓でタービン音の“湿り”に気づいた。回転数の数字はいつも通り。けれど、床のどこかが細かく震えている。

「音が嘘をついてる。」現場（第2カスケード）から電話が入る。「配管が熱っぽい。でも計器は平常。」千佳は手順書を開き、保安係へ増員をかけた。山崎行政書士事務所の番号を指が探す。

01｜07:15　“止める／伝える／回す”

静岡・山崎行政書士事務所。ホワイトボードに**律斗（りつと）**が三行を書く。

止める／伝える／回す

• 止める：エアギャップ側（工程LAN）の物理切離し。工程監視（DCS）と安全計装の片方向参照のみ残し、工程用エンジニアリング端末（EWS）は電源を落とさずLANから外す（揮発証跡保全）。

• 伝える：三文で所内・所管・周辺事業者に同報。“確認された事実”と“可能性（仮説）”を段落で分け、更新の時刻（正午／17時）を約束。

• 回す：カスケードを安全側に段階減速、手順票は紙運用へ。遅いけど確実に。

りなが補う。「72時間の法の時計を回します。**“支払い先変更メールは無効”**の一文を冒頭に。」

奏汰（そうた）は配線図に赤を走らせる。「工程側のPLCに余計な“手話”が入ってる気配。監視値が平穏なのに機械の息が乱れるのは、見せかけの可能性が高い。」悠真（ゆうま）が頷く。「“画面に嘘”、“現物に本当”。監視が後から描かれている。」

ふみかが三文の一次報を置く。

受付カウンターの白い猫のマスコット（やまにゃん）が、しっぽのUSB Type‑Cで小さく光る。札には太い字で——

02｜08:10　“音”は嘘をつかない

第2カスケードの床下で、配管が小刻みに泣く。千佳は紙の回転計を見た。針が、ほんの少し、速い。DCSの画面は平穏のまま。“緑色の嘘”が静かに塗られている。

悠真が隔離EWSのログから斑点を拾う。「見慣れないドライバ。システム署名が本物みたいに見える。昨日の時刻で入ってる。」奏汰が眉を寄せる。「誰かが**“正規に見える箱”を被せ**、PLCに別の“楽譜”を差し込んだ**匂い。」

03｜09:02　砂の中の針

蓮斗（れんと）が四つの数字を置く。

• MTTD（検知）：33分（体感異常→工学的再確認）

• 一次封じ込め：48分（工程LAN切離し／EWS隔離）

• 段階減速：カスケード2→50%、他は待機

• 外向き通信：ゼロ（遮断後）

律斗は短く言う。「勝ってはいない。**“間に合っている”**だけだ。」

りながPPC向けのドラフトを二段落で整える。

• 確認された事実：体感振動の増大、工程LAN切離し、EWS隔離、署名偽装の疑い、紙手順での段階減速。

• 未確定（継続調査）：第三者提供の有無・範囲、PLCロジックの改変成否、初期侵入経路。

「混ぜない。事実と可能性を同じ文に置かない。」りな。

04｜10:11　“空気の壁”の向こう側

現場係が静かに言う。「USBが一昨日、工具の納入で一本。検査記録はある。」悠真は頷く。「エアギャップは壁だが、扉はある。差し込まれた刃は**“アイコンを見るだけ”で目を覚ます**——昔の窓の古い切り傷に似てる。」

奏汰は**“見せかけの監視”**の筋を紙に描く。

千佳は第2カスケードをさらに減速し、停止へ向けた呼吸を合わせた。

05｜12:00　正午の報

ふみかが読み上げ、りなが段落を整える。

怒号はない。時刻が不安の終わりをつくる。やまにゃんの札は変わらない。

06｜13:20　“楽譜”を剥がす

隔離EWSから工程の“楽譜”（PLCロジック）を抜き取り、黄金のロジックと差分を取る。悠真が指先で示す。「微妙な加減速の挿入、センサー値の再生。“揺らして壊す”の設計だ。」奏汰は現物の配線を紙に描き直し、参照を片方向に固定。“書く鍵／読む鍵／運転の鍵”を三束に分ける。

例外には期限。48時間で自動失効。延長は**“10分会議”**で。

07｜15:05　“正規の顔”を被る者

りながまとめる。「正規の署名に似せた衣、複数の古傷（ゼロデイ）、USB逸走。工場を攻撃用の転送路にしない設計が要る。」蓮斗の数字が更新される。

• 段階減速：カスケード2停止／3~4待機

• 差分検出：ロジック差分 3件（加減速、センサ再生、タイミング挿入）

• 外向き通信：ゼロ継続

• 所管・周辺事業者通知率：100%

08｜17:00　二次報

律斗はペン先で小さな丸を描く。「一次封じ込めは完了。残すのは手順と地図だ。」

09｜21:30　“戻す”のではなく“引っ越す”

工程は新しい箱に引っ越す。自動更新は切り、“人の10分会議”を鍵にする。USBは片方向メディアに限定。検査のないアイコンは光らない。監視のダッシュボードに二つの新しい目が増える——“物理計測vs.監視値の乖離率”と“例外の期限切れ件数”。

夏芽が静かに言う。「鳴るべきアラートが、鳴る。」

10｜二日目 07:05　砂時計を立て直す

冷間試験、段階起動。針は静かに目標を撫で、床は乾いた音に戻る。千佳は紙の回転計と画面を交互に見て、同じ数字を確認した。嘘は消え、砂時計は正しく流れる。

11｜三日後 11:40　“72時間”の線

PPCへの報告が二段落で確定する。

• 確認された事実：体感異常、工程LAN切離し・EWS隔離、ロジック差分検出、再書込み、片方向参照、段階復帰。

• 未確定（継続調査）：初期侵入経路の断定（USB起点の可能性）、第三者提供の有無・範囲、外部機関連携の結果。

蓮斗の数字。

• MTTD：33分 → 12分（体感センサーと乖離監視の導入）

• 一次封じ込め：48分 → 29分

• 例外期限遵守率：98%

• 段階復帰：カスケード2→試運転再開

りなは三つで締める。

やまにゃんが小さく光り、札は変わらない。

画面は戻った。だが、紙と耳を手放さない。遠心はまた歌い、砂は正しい方向へ落ちていく。

—— 完

参考リンク（URLべた張り／事実ベース・一次情報／技術分析・主要報道）

※物語はフィクションですが、骨格（2010年に露見した Stuxnet：USB経由の侵入、複数ゼロデイの悪用、Realtek/JMicron署名悪用、Siemens Step7/S7‑PLCロジック改変、遠心分離機の加減速と監視値偽装、ICS‑CERT・MSRC・主要研究者の分析）は以下に基づいています。

https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdfhttps://www.cisa.gov/uscert/ics/alerts/ICS-ALERT-10-301-01Ahttps://learn.microsoft.com/en-us/security-updates/securitybulletins/2010/ms10-046https://learn.microsoft.com/en-us/security-updates/securitybulletins/2010/ms10-061https://securelist.com/stuxnet-under-the-microscope/57652/http://www.langner.com/en/wp-content/uploads/2013/11/To-kill-a-centrifuge.pdfhttp://www.virusblokada.by/en/about/news/49/https://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.htmlhttps://www.us-cert.gov/ics/content/recommended_practices