金曜の救急 — WannaCryの待合室（長編フィクション）

— 2017年春のランサムワーム「WannaCry / WannaCrypt」（MS17‑010／SMBv1／キルスイッチ）を骨格にした物語

00｜金曜 15:41　赤い待合室

青藍（せいらん）市立医療センターの救急外来。夏芽は受付の端末が一斉に赤い壁紙へ変わるのを見た。

カルテ表示は止まり、レントゲンのリストは開かない。電話が鳴り、院内メッセンジャが震え続ける。

01｜15:58　“止める／伝える／回す”

静岡・山崎行政書士事務所。ホワイトボードに**律斗（りつと）**が三行を書く。

止める／伝える／回す

• 止める：LANを病棟／画像／事務で粗分割。445/TCP（SMB）を境界で遮断、SMBv1を全域で無効化。感染疑い端末は電源を切らずにLANから外す（揮発証跡のため）。自動更新は止めず、緊急の安全パッチ（MS17‑010）を段階適用。

• 伝える：三文で院内／保健所／消防に同報。“確認された事実”と“可能性（仮説）”を段落で分け、正時／17時の更新時刻を約束。**“支払い先変更メールは無効”**を最初に。

• 回す：トリアージは紙へ、処方は電話復唱＋二名承認。放射線はポータブル優先、予約は翌日以降に組み直す。遅いけど確実に回す。

りなが補う。「72時間の法の時計を回します。“声は鍵”（折り返し＋二名承認）を全窓口で発動。」

奏汰（そうた）は構成図に赤を引く。「SMBの古傷（MS17‑010）、自動の横展開、暗号化は同じ歌。WannaCryの匂い。」悠真（ゆうま）が頷く。「キルスイッチが外で掴まれば、波が鈍る可能性。だが、内部は自分たちで止める。」

ふみかが三文の一次報を置く。

受付に白い猫のマスコット（やまにゃん）が置かれる。しっぽはUSB Type‑C。札には太い字。

02｜16:22　ポーターの足、紙のカルテ

救急は紙のカルテ台車を引き出す。看護師が二名で復唱し、処置を口頭記録する。院内PACSの画像は遅い。ポータブル機が病室を回る。夏芽は口腔外科と整形の衝突を一枚の紙で避ける。

蓮斗（れんと）が四つの数字を掲げる。

• MTTD（検知）：17分（最初の赤画面から）

• 一次封じ込め：43分（SMB遮断・SMBv1無効化・隔離）

• 感染疑い端末：27台（病棟12／事務10／画像5）

• MRI/CT 稼働：60%（手順制限下）

律斗は短く言う。「勝ってはいない。**“間に合っている”**だけだ。」

03｜17:05　“支払えば戻る”は筋書きか

CFOが問う。「支払えば戻るのか。」悠真は首を振る。「確実はない。鍵の管理も拙い。病院は時間が貨幣だ。紙で回しきる設計に振る。」

りなは広報台本を整える。「“診療継続”、“緊急は優先”、“時刻で更新”。“犯人像”はわたしたちが言わない。公的発表に歩調を合わせる。」

04｜18:40　外の空気が変わる

海外の研究者がキルスイッチを踏んだというニュースが飛ぶ。意味のない文字列のドメイン名が登録され、波が鈍る。内部では既に広がった火が燻り、外からの新しい火は薄くなる。

奏汰はパッチ適用の波を早め、夜間の段を二つに割る。古い機器には緊急の特別版を適用。やまにゃんの札が光る。

05｜19:55　“X線の白、紙の黒”

放射線科でX線が白く光り、紙に黒のインクが並ぶ。処方は電話で薬剤部へ、二名承認で投薬。救急は患者の順を付箋で回し、医師はポケットにボールペンを増やした。

06｜21:20　“二つの目”

TLS復号プロキシの証明書は余裕がある。だが、監視の目を二系統にする。ログは書換不能（WORM）の保全庫へ二経路。アラートは色ではなく人に着信する。

蓮斗の数字が更新される。

• MS17‑010 適用率：76% → 92%（4h）

• 感染拡大：止まる（新規ゼロ）

• 診療遅延：平均 17分 → 9分

• 例外期限遵守率：98%

07｜翌朝 06:40　土曜の静けさ

夜間の段が終わり、古いOSにも緊急の修正が当たった。新規の赤画面はない。救急は紙の束をやや薄くし、端末の青が戻る。夏芽は手洗い場でインクを落とし、やまにゃんの札を指で叩く。

08｜正午　一次報（院外向け）

怒号はない。時刻が不安の終わりを作った。

09｜14:15　「どこまで来ていたか」

ログを引き、端末の息を束ねる。445を探す呼吸が外からも内からも来ていた。春先のパッチは一部で見送られていた。りなは手順に三行**を足す。

10｜日曜 11:40　“72時間”の線

PPC（個人情報保護委員会）への報告が二段落で確定する。

• 確認された事実：ランサム表示、SMB遮断／SMBv1無効化／段階パッチ、感染疑い隔離、診療継続。

• 未確定（継続調査）：第三者提供の有無・範囲、暗号化対象の内訳、外部機関連携の結果。

蓮斗の数字。

• MTTD：17分 → 8分（赤画面／再起動監視の導入）

• 一次封じ込め：43分 → 26分

• MS17‑010 適用率：100%

• 診療遅延：平均 6分（平常域）

律斗はペン先で小さな丸を描いた。「一次封じ込め完了。残すのは手順と地図だ。」

11｜数週間後　“誰がやったのか”は、誰が言うのか

政府機関が帰属を発表し、起訴状が一人の名を挙げる。院内では、帰属はわたしたちが言わないという原則が守られ、事実と時間だけが記録される。講堂に三つの時計が並ぶ。

1. 現場の時間（診療・安全・遅延）

2. 規制の時間（72時間）

3. 経営の時間（信頼・費用・改善）

夏芽は更新手順の一行目に太字を足す。

—— 完

参考リンク（URLべた張り／事実ベース・一次情報／主要技術・公的整理）

※本作はフィクションですが、骨格（2017年5月の WannaCry／MS17‑010（SMBv1）／キルスイッチ／医療現場を含む世界的影響／政府機関の勧告・帰属／緊急パッチ提供）は以下に基づいています。

https://learn.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010https://msrc.microsoft.com/blog/2017/05/customer-guidance-for-wannacrypt-attacks/https://www.cisa.gov/news-events/analysis-reports/ar17-132ahttps://www.ncsc.gov.uk/blog-post/what-you-need-know-about-wannacryhttps://www.nao.org.uk/reports/investigation-wannacry-cyber-attack-and-the-nhs/https://www.gov.uk/government/publications/lessons-learned-review-of-wannacry-ransomware-cyber-attackhttps://securelist.com/wannacry-faq/78751/https://blog.malwaretech.com/2017/08/how-to-accidentally-stop-a-global-cyber-attack.htmlhttps://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-two-major-cyber-attackshttps://home.treasury.gov/news/press-releases/sm0292https://www.wired.com/story/wannacry-ransomware-north-korea-lazarus/