薄灰の返送 — 週末の搬送箱（長編フィクション）

— 2023年「MOVEit Transfer のゼロデイ（CVE‑2023‑34362）を突いた大規模窃取・恐喝：SQLi→Webシェル（human2.aspx/LEMURLOOT 等）設置→データ抜取→身代金ではなく“掲示板での公開予告による恐喝”→CISA/Progress/Microsoft/Mandiant各通達」を骨格にした創作

00｜土曜 01:14　“出していないのに、出ている”

碧霧（あおぎり）ホールディングスの共通ファイル搬送室。夏芽はMOVEit Transferのダッシュボードをぼんやり見ていた。三連休前の残務。転送キューは空、CPUは静か。ただ、外向きの帯域だけがわずかに脈を打つ。トップトーカーはMOVEitのWebサーバ自身。

WAFは緑、EDRも沈黙。夏芽は山崎行政書士事務所に短縮を叩いた。

01｜01:27　“止める／伝える／回す”

静岡・山崎行政書士事務所。白板の前に**律斗（りつと）**が立つ。

止める／伝える／回す

• 止める：MOVEitサーバを電源を落とさずネットワーク隔離（LDAP/DB/Outboundを順に閉鎖）。公開側は直下のWAFでDNS・外向き宛先を白化。証跡（wwwroot／IISログ／DBスナップショット／メモリ）を一方向に吸い上げる。アカウント／APIキーは強制失効、ADの常時特権はゼロにしてJITへ。

• 伝える：三文の一次報を役員／法務／各事業会社に同報。“確認された事実”（MOVEit配下からの外向き異常）と**“可能性（仮説）”（ゼロデイ悪用→Webシェル設置→データ抜取）を段落分離**。正午／17時に時刻で更新、「支払い先変更メールは無効」を冒頭に。

• 回す：急ぎのファイル授受はSFTP一時島＋紙の台帳へ迂回。自動削除は切る、保管はWORMに。遅いけど確実に回す。

りなが頷く。「72時間の法の時計も回します。“声は鍵”（折り返し＋二名承認）を全窓口に。」

奏汰（そうた）は構成図に赤を書き足す。「SQLインジェクションでMOVEitのDBを捻じ曲げ、Webルートに薄い刃を置く筋。人の名前を装った**human2.aspxみたいな偽装が典型**だ。」**悠真（ゆうま）が短く言う。「暗号化しない。抜いて、見せると脅す。“支払えなければ公開”**の型だ。」

ふみかが一次報の三文を置く。

受付の白い猫のマスコット（やまにゃん）が、しっぽのType‑Cを小さく光らせる。札には太い字。

02｜02:05　“human2.aspx”

隔離したMOVEitのwwwrootに薄い紙片が落ちていた。human.aspxに似た、たった一文字違いの**human2.aspx。中を見ると、MOVEitの内部クラスに静かに手を伸ばす****カスタムWebシェル**。認証は36文字の乱数パス——扉は出来ていた。

夏芽は喉が乾くのを感じた。

03｜02:38　四つの数字（第一次）

蓮斗（れんと）が白板に書く。

• MTTD（検知）：21分（外向き帯域の脈→手動相関）

• 一次封じ込め：46分（隔離／白化／証跡保全／JIT化）

• 確認痕跡：human2.aspx設置／DB操作の異常クエリ／外向き送出ログ

• 想定影響：人事・取引先・出荷照合のCSV一部（範囲推計中）

律斗は短く言う。「勝ってはいない。**“間に合っている”**だけだ。」

04｜03:10　“週末”という刃

攻撃は土曜を選ぶ。人の時間が細くなり、自動が太くなるから。りなは広報台本を整える。「“誰がやったか”は私たちが言わない。公的通達に歩調を合わせる。私たちは**“何が起き、何を止め、どう変えたか”を時刻**で言い切る。」

05｜朝 07:25　“見せると脅す”一通

匿名掲示板の告知欄に、碧霧の名前がうっすら載った。

やまにゃんの札が光る。

06｜正午　一次報（社外）

怒号はない。時刻が不安の終わりを作る。

07｜午後　“眠る、舐める、抜く”

悠真が痕跡を並べる。「最初は眠る。環境を舐めて検査機関を避け、条件が揃えば動く。動くとDBから対象ファイルを列挙して圧縮→送出。暗号化はしない。奏汰が足す。「Outboundは白だけ、DNSは怪しい長名を即死に。MOVEitは空の箱で再建、パッチ適用後に最小構成から戻す。」

蓮斗の数字が更新される。

• 外向き送出：深夜帯に塊 3

• 確認ファイル型：CSV/TSV/一部PDF

• 迂回運用：SFTP一時島 稼働率 92%

• 未確認要素：第三者提供の有無（継続）

08｜17:00　二次報

夏芽は紙台帳に受け渡し時刻を押印し続けた。遅いが、戻れる速さはここからしか生まれない。

09｜二日目 朝　広がる通達

ベンダはクリティカル脆弱性の通告を繰り返し、政府機関は共同勧告を出す。“CVE‑2023‑34362”、“SQLi”、“human2.aspx/LEMURLOOT”、“Lace Tempest/CL0P”——名が揃う。帰属は私たちが言わない。公的発表に歩調を合わせる。私たちは**“何が起き、何を止め、どう戻したか”を時刻**で言う。

10｜三日目 11:40　“72時間”の線

所管への報告が二段落で確定する。

• 確認された事実：MOVEit配下からの外向き異常、human2.aspx相当の不正Webシェル隔離、外向き白化／JIT特権／WORM保全、SFTP一時島での継続。

• 未確定（継続調査）：第三者提供の有無・範囲、個別CSV項目の精査、外部機関連携の最終結果。

講堂に三つの時計が並ぶ。

1. 現場の時間（授受・出荷・対外連携）

2. 規制の時間（72時間）

3. 経営の時間（信頼・補償・再発防止）

りなは三行で締める。

11｜一か月後　“白い箱”の地図

MOVEitは白い箱で歌い直し、Outboundは**“白だけ”になった。鍵束は三つに分かれ、常時特権はゼロ、JIT貸与には押印がいる。署名だけでは通さない**。“署名＋再現”が採用基準になった。薄い紙の台帳は、最後の引き出しに少し残した。

やまにゃんは今日も受付で静かに光る。

—— 完

参考リンク（URLべた張り／事実ベース・一次情報／主要公的通達・技術解説）

※本作はフィクションですが、骨格（MOVEit Transfer の CVE‑2023‑34362（SQLインジェクション）、human2.aspx/LEMURLOOT などのWebシェル、データ窃取→恐喝、CISA／Progress／Microsoft／Mandiant 等の通達）は以下を参照しています。

https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023https://www.progress.com/trust-center/moveit-transfer-and-moveit-cloud-vulnerabilityhttps://nvd.nist.gov/vuln/detail/CVE-2023-34362https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158ahttps://www.cisa.gov/sites/default/files/2023-07/aa23-158a-stopransomware-cl0p-ransomware-gang-exploits-moveit-vulnerability_8.pdfhttps://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Backdoor%3AJS%2FPhantomShell.A&threatId=-2147119215https://cloud.google.com/blog/topics/threat-intelligence/zero-day-moveit-data-thefthttps://www.akamai.com/blog/security-research/moveit-sqli-zero-day-exploit-clop-ransomwarehttps://www.zscaler.com/blogs/security-research/coverage-advisory-cve-2023-34362-moveit-transfer-vulnerabilitieshttps://blog.qualys.com/vulnerabilities-threat-research/2023/06/07/progress-moveit-transfer-vulnerability-being-actively-exploited