藍月の供給網 — オリオンの影（長編フィクション）

— 2020年「SolarWinds Orion のビルド環境妥協→署名付きアップデートに SUNBURST（Solorigate）混入→C2（avsvmcloud[.]com）で段階起動→一部で二次ステージ（TEARDROP/RAINDROP 等）→長期スパイ活動→米政府の緊急通達と帰属表明」を骨格にした物語

00｜月曜 09:11　「数値が合うのに、息が合わない」

青蘭（せいらん）政策研究機構のネットワーク室。夏芽は、Orionの監視画面でCPU負荷とSNMP応答が**“きれいすぎる”**ことに気づいた。アラートは静か。トポロジも完璧。——完璧すぎる。DNSの統計を横目で見た瞬間、胸骨の裏が冷えた。

「山崎行政書士事務所に繋いで。」

01｜09:33　“止める／伝える／回す”

静岡・山崎行政書士事務所。ホワイトボードに**律斗（りつと）**が三行を書く。

止める／伝える／回す

• 止める：Orionサーバを電源落とさずネットワーク隔離。C2候補（avsvmcloud[.]com系）へのDNS/Dst IPを境界で黒塗り。SolarWinds.Orion.Core.BusinessLayer.dllの指紋を採り、証跡は一方向へ吸い上げる。ADの常時特権はゼロに、必要時だけのJIT特権に切り替える。

• 伝える：三文で役員／研究者／共同研究先へ同報。“確認された事実”（Orionからの未知ドメインへの定期問い合わせ／該当モジュールの不審性）と**“可能性（仮説）”（署名付き更新に悪性混入の線）を段落分離**。正午／17時に時刻で更新、「支払い先変更メールは無効」を冒頭に。

• 回す：監視業務はSNMPの素朴監視＋紙台帳に後退、自動修復は全面停止。遅いけど確実に回す。

りなが頷く。「72時間の法の時計を回します。“声は鍵”（折り返し＋二名承認）を全窓口に。」

奏汰（そうた）は構成図に赤を走らせる。「ビルド環境が先に裂け、“正規の更新”の顔でSUNBURSTを混ぜられた可能性。最初の問合せはDNS、答えが来たら“眠っていた刃”が目を開ける。」

悠真（ゆうま）が短く足す。「数日〜数週間のスリープ、環境判定、条件が揃えば第二の**運び手（TEARDROP等）**が入る。」

ふみかが一次報の三文を置く。

受付の**白い猫のマスコット（やまにゃん）**が、しっぽのType‑Cで小さく光る。札には太い字。

02｜10:20　署名の影

SolarWindsの署名は正しい。タイムスタンプも正しく見える。夏芽は**“正しいものの顔をした別人”という言葉を噛みしめる。ログの裏側で、Orion Improvement Programの名を借りたプロセスが静かに足音**を消している。

蓮斗（れんと）が四つの数字を書く。

• MTTD（検知）：22分（DNSの異常相→Orionの定期問合せ）

• 一次封じ込め：44分（隔離／遮断／証跡保全／JIT化）

• 二次ステージ痕：ゼロ（現時点のメモリ／スケジューラ照合）

• 影響範囲推定：Orion セグメント内のみ（AD移動痕なし）

律斗は短く言う。「勝ってはいない。**“間に合っている”**だけだ。」

03｜11:58　“切断”の通達

CISAが緊急指令を出す。該当バージョンのOrionは電源断または切断、痕跡分類は三区分。りなは二段落の外向け文案を整える。

• 確認された事実：Orion由来の不審通信、サーバ隔離、切断、JIT特権化、監視業務の後退。

• 未確定（継続調査）：二次ステージの有無、第三者提供の有無・範囲、初期混入の時期。

「混ぜない。事実と可能性を同じ文に置かない。」りな。

04｜正午　一次報（社外）

怒号はない。時刻が不安の終わりを作る。

05｜午後　「眠らせて、見に来る」型

SUNBURSTは眠る。14日を超える睡眠もある。環境を舐めて、検査機関や名称を見て自分を消すことすらある。目覚めたらDNSでC2に名乗り、そこから二次ステージ（TEARDROP等）に仕事を渡す——。奏汰は**“渡させない”**設計に書き換える。

• DNSのeDNSサイズ縮小＋疑わしいドメインの即死

• Outboundを“白”だけ（研究先と更新系のみ）

• 署名＋再現（reproducible build）をパッケージ採用条件に

やまにゃんの札が光る。

06｜15:42　紙の監視

自動修復が止まった分、人が机間巡視をする。紙の台帳に温度、ポート、遅延が手書きで並び、“人の10分”が自動の前後を埋める。遅いが、戻れる速さはここから生まれる。

07｜17:00　二次報

蓮斗の数字。

• MTTD：22分 → 9分（**“Orion→未知DNS”**の常設検知）

• 一次封じ込め：44分 → 27分

• 常時特権：ゼロ（JIT化完了）

• 例外期限遵守率：98%

08｜数日後　「誰がやったのか」は、誰が言うのか

米政府はロシア対外情報庁（SVR/Cozy Bear/APT29）の関与を高い確度で公表し、制裁と対応を発表。英国NCSCも連動し、技術共同体はC2のDNS（avsvmcloud[.]com）やサブドメイン生成、検知の道を解説する。帰属はわたしたちが言わない。公的発表に歩調を合わせる。わたしたちは**“何が起き、何を止め、どう戻したか”を時刻**で言う。

09｜三日目 11:40　“72時間”の線

所管への報告が二段落で確定する。

• 確認された事実：Orion由来の不審通信、サーバ隔離／切断、C2遮断、Outbound白化、JIT特権、紙の監視、二次ステージ痕なし。

• 未確定（継続調査）：第三者提供の有無・範囲、初期混入バージョンの特定、外部機関連携の最終結果。

講堂に三つの時計が並ぶ。

1. 現場の時間（監視・研究・連携）

2. 規制の時間（72時間）

3. 経営の時間（信頼・費用・再発防止）

りなは三行で締める。

10｜数週間後　“空の箱”の歌

新しい監視基盤は小さく、鍵束は三つに分かれた。

やまにゃんの札は今日も静かに光る。

青蘭政策研究機構は**“正しい更新の顔をした別人”から学び**、戻れる速さを設計に変えた。供給網は目に見えないが、ここに地図ができた。

—— 完

参考リンク（URLべた張り／事実ベース・一次情報／主要公的整理・技術解説・報道）

※物語はフィクションですが、骨格（SolarWinds Orion ビルド妥協→SUNBURST/Solorigate 混入→avsvmcloud[.]com でのC2・段階起動→一部でTEARDROP/RAINDROP等の二次ステージ→CISA緊急指令→**米政府（SVR/Cozy Bear）**の帰属表明）は下記に基づいています。

https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoorhttps://www.cisa.gov/news-events/directives/ed-21-01-mitigate-solarwinds-orion-code-compromisehttps://www.microsoft.com/en-us/security/blog/2021/01/20/deep-dive-into-the-solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/https://bidenwhitehouse.archives.gov/briefing-room/statements-releases/2021/04/15/fact-sheet-imposing-costs-for-harmful-foreign-activities-by-the-russian-government/https://www.volexity.com/blog/2020/12/14/dark-halo-leverages-solarwinds-compromise-to-breach-organizations/https://cloud.google.com/blog/topics/threat-intelligence/sunburst-additional-technical-detailshttps://www.cisa.gov/news-events/news/cisa-issues-emergency-directive-mitigate-compromise-solarwinds-orion-network-management-productshttps://www.reuters.com/business/white-house-blames-russian-spy-agency-svr-solarwinds-hack-statement-2021-04-15/