青葉の遮断 — 管理サーバの金曜日（長編フィクション）

— 2021年「Kaseya VSA を起点にした REvil（Sodinokibi）ランサムウェアのサプライチェーン攻撃：ゼロデイ悪用→VSA でスクリプト配信→多数の MSP 経由で顧客端末暗号化→北欧小売の店舗停止→$70M 要求→“第三者”経由のユニバーサル復号鍵→当局・規制・逮捕」の骨格に基づく創作

00｜金曜 16:02　“予定していないジョブ”

青葉マネージドサービスの監視室。夏芽は RMM ダッシュボードの保留中ジョブに見慣れない行を見つけた。

夏芽は山崎行政書士事務所の短縮を押した。

01｜16:18　“止める／伝える／回す”

静岡・山崎行政書士事務所。ホワイトボードに律斗が三行を書く。

止める／伝える／回す

• 止める：VSA サーバを電源を落とさずネットワーク隔離（WAN／管理LANを物理遮断、証跡は一方向で吸い上げ）。エージェント配布とスクリプト実行権限を即停止。ドメイン常時特権はゼロ化し、JIT特権で一時貸与に切替。顧客セグメントとのL3ピボットは遮断。

• 伝える：三文で社内／顧客／所管へ同報。“確認された事実”（VSA から不審ジョブ配信）と**“可能性（仮説）”（MSP 経由の暗号化拡大の線）を段落で分け、正午／17時の更新時刻を約束**。「支払い先変更メールは無効」を一文目に。

• 回す：緊急チケットは紙台帳＋直通電話に切替。更新や配布は週末停止。顧客のバックアップはオフライン（WORM）へ退避。遅いけど確実に回す。

りなが頷く。「72時間の法の時計も回します。“声は鍵”（折り返し＋二名承認）を全窓口へ。」

奏汰が構成図に赤を走らせる。「ゼロデイでVSAの入口を抜かれ、管理の手で**“更新に見える刃”を配る筋。その先でREvil（Sodinokibi）が暗号化を歌う**。」

悠真は短く足す。「“中央から押す”のを止める。“地方で切る”手順を先に動かす。」

ふみかが一次報の三文を置く。

受付の白い猫のマスコット（やまにゃん）が、しっぽのType‑Cで小さく光る。札には太い字で、

02｜16:46　“同時多発”の予感

顧客の工房から電話。「デスクトップの壁紙が暗い告知になった。拡張子が見たことのない文字列に。」別の顧客は「レジが止まって売れない」。北欧のニュースを映すテレビで、大手スーパーが閉店のテロップを流す。

蓮斗が四つの数字を書く。

• MTTD（検知）：16分（VSA 不審ジョブ→配布停止）

• 一次封じ込め：41分（VSA 隔離／顧客ピボット遮断）

• 暗号化確認顧客：7/63（初動）

• バックアップ到達率（オフライン）：89%

律斗は短く言う。「勝ってはいない。**“間に合っている”**だけだ。」

03｜17:20　“誰の名前で命令が出たか”

ジョブログにはKaseyaAdminの名前。しかし、操作は外から注入されている。夏芽は管理者の二要素を全員に強制し、“見る鍵／書く鍵／配る鍵”を分離。JIT特権の貸与には**“人の10分会議”を挟む**。

りなは顧客向けの三文に一行足した。

04｜18:05　“紙の電話”が回りだす

紙台帳に顧客名と時刻が並ぶ。電話は復唱、作業は二名承認、現地は遮断→退避→検証の黄色線。自動配布の便利は封印された。でも、戻れる速さはここにある。

やまにゃんの札が微かに揺れた。

05｜19:40　“外”の通達

当局とセキュリティ機関が緊急通達を出す。

蓮斗の数字が更新される。

• 顧客復旧状況：完全 3／部分 9／調査中 11

• 支払要求：統一額の噂（例：$70M）（公的報道）

• 当社支払方針：不払（対策と復旧を優先）

06｜翌朝 06:30　“暗闇のあと”

夜の間に拡大は止まった。紙と外付けに逃していたバックアップから、顧客の会計が戻る。ただ、数社は金曜の最終差分が欠けていた。りなは補償線と広報台本を整える。事実と可能性を混ぜない。時刻で言い切る。

07｜正午　一次報（社外）

怒号は少ない。時刻が不安の終わりを作る。

08｜14:22　“復号鍵”という噂

ダークウェブの看板が突然消える。数日後、ベンダが**「信頼できる第三者からユニバーサル復号鍵を入手」と発表する。夏芽は実験環境で鍵を試し、戻ることを確かめる——が、使わない顧客もある。証跡と後始末を優先**するためだ。

奏汰は復旧の流れを紙から新しい箱へ繋ぐ。“戻す”のではなく“引っ越す”。自動更新は切らず、“管理面の一括操作”は二名承認＋記録へ。

09｜17:00　二次報

蓮斗の数字。

• MTTD：16分 → 9分（**“管理面の異常配布”**の常設検知）

• 一次封じ込め：41分 → 27分

• 常時特権：ゼロ（JIT化 完了）

• 例外期限遵守率：98%

10｜三日後 11:40　“72時間”の線

所管への報告が二段落で確定する。

• 確認された事実：VSA の不審ジョブ配信、顧客端末の暗号化、隔離／遮断／オフライン退避、復旧、ユニバーサル復号鍵の検証。

• 未確定（継続調査）：第三者提供の有無・範囲、初期侵入経路の細部、外部機関連携の最終結果。

りなは講堂で三つの時計を示す。

1. 現場の時間（顧客業務・復旧・請求）

2. 規制の時間（72時間と継続報告）

3. 経営の時間（信頼・是正・再発防止）

教訓は四つ。

1. “管理の手”を二重化する（見る鍵／配る鍵／書く鍵を分け、常時特権ゼロ）。

2. “中央の便利”に“人の10分会議”（RMM 一括操作は二名承認＋記録）。

3. オフラインに逃がす道を常設（WORM／物理分離）。

4. 止める／伝える／回すを時刻で習慣化。

やまにゃんの札は今日も変わらない。

青葉マネージドサービスは新しい箱で小さく歌い直した。管理サーバの便利さは刃にもなる。だから遅いけど確実を、最初に置く。

—— 完

参考リンク（URLべた張り／事実ベースの注記・一次情報／主要公的整理・技術解説・報道）

※物語はフィクションですが、骨格（2021年7月の Kaseya VSA を起点としたサプライチェーン型ランサム、MSP 経由での暗号化拡大、北欧小売の店舗停止、統一額（$70M）要求の公表、ベンダによるユニバーサル復号鍵の入手公表、当局の共同勧告、容疑者逮捕・起訴）は下記に基づいています。

https://www.cisa.gov/news-events/alerts/aa21-194ahttps://www.kaseya.com/blog/2021/07/02/kaseya-vsa-vulnerability/https://www.kaseya.com/blog/2021/07/21/kaseya-obtains-universal-decryptor-key/https://www.reuters.com/technology/russian-linked-hackers-demand-70-million-ransom-after-software-supply-chain-attack-2021-07-05/https://www.bbc.com/news/technology-57707530https://www.divd.nl/cases/DIVD-2021-00011/https://www.huntress.com/blog/rapid-response-kaseya-vsa-exploited-to-deliver-revil-ransomwarehttps://www.eset.com/int/about/newsroom/blog/research/kaseya-supply-chain-attack/https://sophos.com/en-us/company/newsroom/press-releases/2021/07/sophos-publishes-revil-kaseya-attack-researchhttps://www.justice.gov/opa/pr/united-states-announces-arrests-and-charges-two-international-ransomware-operatorshttps://www.cisa.gov/news-events/cybersecurity-advisories/aa21-265a