黒い仕訳 — 火曜日の会計(長編フィクション)
- 山崎行政書士事務所
- 9月15日
- 読了時間: 8分
— 2017年の NotPetya(M.E.Docアップデート経由の供給網侵害/横展開にWMIC・PsExec・MS17‑010系、MBR破壊と偽装ランサム)を骨格にした物語
00|火曜 13:06 「更新して再起動してください」
蒼鯨ロジスティクスのキーウ営業所。会計担当のナターリヤは、ウクライナ法人の会計ソフトに小さなポップアップを見た。
“更新が利用可能です。再起動してください。”
いつもの文字。ボタンは青、端は丸い。ボタンを押して、昼の光に目を細めた。港湾のコンテナは蒸気のように浮き上がり、ウインチが鉄の声で鳴いている。
再起動。黒い画面に白い文字。“ディスクをチェックしています”。1%、7%、24%……そこで、画面は灰色の壁紙に変わった。
“Oops, your important files are encrypted.”“Send $300 in Bitcoin to this address and contact…”
ナターリヤは眉をひそめた。メール宛先は聞いたことのない無料サービス、英語の文面は古い詐欺の匂い。それでも、背中に氷が這い上がってくる。経理端末は港へ、港は世界へ繋がっている。
「山崎行政書士事務所に回して。」所長の声が震えないのは、震える暇がないからだ。
01|13:42 “止める/伝える/回す”
静岡・山崎行政書士事務所。ホワイトボードに**律斗(りつと)**が三行を書く。
止める/伝える/回す
止める:キーウ拠点をL3で孤島化。VPNはひとまず遮断、ドメイン連携は切離し。感染疑いは電源を切らずにLANから外す(揮発証跡のため)。MS17‑010未適用域の445/TCPは社内全域でドロップ。
伝える:三文の一次報を全役員/現場/主要顧客に。“確認された事実”と“可能性(仮説)”を段落で分け、正午/17時の更新時刻を約束。「支払い先変更メールは無効」を最初に置く。
回す:港湾オペレーションは紙運用へ即時切替。出庫指示はラジオ+手票で回す。遅いけど確実に。
りなが付け足す。「72時間の法の時計を回します。“声は鍵”——折り返しと二名承認の台本を全窓口へ。」
奏汰(そうた)は構成図に赤を走らせた。「偽装ランサムの顔を持つ破壊型。MBRを書き換えて再起動、MFTをSalsa20で壊す。支払いは筋にならない。復号の道がない可能性が高い。」悠真(ゆうま)が頷く。「横展開はWMIC/PsExecとSMBの古傷(MS17‑010)、クレデンシャル窃取。**“速い”から“広い”**へ飛ぶ。」
ふみかが三文を置く。
現状:ウクライナ拠点の会計端末で暗号化表示を確認。拠点を孤島化し、VPNとドメイン連携を切離し。社内の445/TCPは遮断。対応:港湾の出庫・入庫は紙運用+ラジオで継続。正午に一次報、17時に更新。お願い:“支払い先変更”などメールのみの依頼は無効。必ず電話で二重確認してください。
「時刻は安心の枠。」りなが赤で丸をつける。受付のカウンターでは、白い猫のマスコット(やまにゃん)が、しっぽのType‑Cを小さく光らせていた。
「遅いけど確実。」
02|14:21 “再起動の劇場”
キーウのフロアで、再起動の黒い幕が一斉に降りた。偽のディスクチェックが走り、真の破壊が静かに進む。CFOは身代金の段を見つめる。「300ドルで戻る?」悠真が首を振る。「連絡先のメールは既に凍結。鍵は最初から用意されていない——“払っても戻らない”が最初に来る。」
蓮斗(れんと)が四つの数字を掲げる。
MTTD(検知):36分(初回再起動から)
一次封じ込め:51分(孤島化・VPN遮断・445遮断)
影響拠点:キーウ1/オデーサ1(局所)
社内横展開:兆候なし(監視継続)
律斗は短く言う。「勝ってはいない。**“間に合っている”**だけだ。」
03|15:07 黒い矢印の行列
SOCの壁面に、矢印が等間隔で並ぶ。ドメイン管理者の資格情報を持つ端末から、WMICとPsExecの一斉射出。445が開いている島は赤、塞いだ島は青。ナターリヤの席は黒。MS17‑010を当て損ねた控え室PCの青が、ゆっくり赤に変わっていく。
奏汰が拳を握る。「“全部いっぺんに塞げない”なら、“戻れる速さで塞ぐ段”を作る。第一波は境界と幹線、第二波で支線、第三波で枝葉。」
04|16:20 港は紙で走る
オペレーション棟から紙が吐き出される。出庫番号、行き先、重量。二名が復唱し、ラジオでゲートへ。フォークリフトは遅い弧を描くが、止まらない。怒号はない。時刻が不安の終わりを作っている。
やまにゃんの札に、油性ペンで一行。
「ラジオは古い。でも切れない。」
05|17:00 一次報
事実:ウクライナ拠点で偽装ランサム表示を伴う破壊的事象を確認。拠点孤島化/VPN遮断/445遮断、紙運用で港湾を継続。影響(現時点):国内外の他拠点に横展開の確証なし(継続監視)。個人情報の第三者提供の確証なし。約束:翌正午に更新。“メールだけ”の依頼は無効、電話二重確認。
CFOは身代金の窓を閉じた。「払わない。戻せないものに払っても、戻らない。」
06|夜 20:12 「黒い会計」の正体
キーウから遡ると、会計ソフトの更新が針のように見えた。更新サーバから**“普通の差分”に紛れて“余計な手”。供給網の扉がひとつ**、静かに開いた。りなが低く言う。「“正規の更新”の皮を着た他人の指。“最初の入口”があちら側なら、こちらは**“広がらない”に全振り**。払わない/広げない/戻れる速さ。」
蓮斗が数字を更新する。
港湾稼働率:73%(紙運用)
MS17‑010適用率:基幹100%/周辺81%
445遮断:全域完了
顧客通知率:100%
07|翌朝 06:30 “灰色の壁紙”の海
欧州のパートナーから**“同じ壁紙”の写真が届く。船会社、医薬、宅配。火曜日の灰色は時差で連鎖する。りなは広報台本を更新する。「“世界規模の障害”には“自社の線”を保ちながら連帯の文**。“当社は払わない/広げない/戻せる形で動く”。」
やまにゃんの札が光る。
「速さは、戻れるときだけ味方。」
08|12:00 正午の報
事実:ウクライナ拠点での破壊的事象は封じ込め。横展開の確証なし。会計ソフトの更新を停止し、証跡保全を継続。影響(現時点):港湾稼働 73%(紙運用)。個人情報の第三者提供の確証なし。次:夜間にADの健全性確認/“鍵束の分割”/JIT特権を本番化。72時間の報告線を維持。
奏汰はドメインの骨を指でなぞる。「ADが燃えたら会社が止まる。“ひとつの生存個体”をどこかに残す訓練を今日やる。」
09|14:45 “ひとつの生存個体”
西アフリカ支店のドメインコントローラが、偶然****停電で落ちていた。燃える海の外に残った地図。悠真が言う。「これを種に森を戻す。“戻す”じゃない、“引っ越す”。」復旧班は航空便でディスクを運び、新しい林に樹を植えるようにドメインを立て直す。
りなは顧客向けの三文に一行足す。
「当社は不当な要求には応じません。証跡の確保と関係機関との連携を優先します。」
10|17:00 二次報
封じ込め:拠点孤島化/VPN遮断/445遮断の維持。AD再構築を**“生存個体”から段階で実施。JIT特権導入。影響:港湾稼働 81%。事故報告なし。次:翌日に会計系の完全切替(別ベンダ)、“例外は48時間で自動失効”**を運用化。
律斗はペン先で小さな丸を描いた。「一次封じ込めは完了。残すのは手順と地図だ。」
11|三日目 11:40 “72時間”の線
PPCへの報告が二段落で確定する。
確認された事実:会計ソフト更新直後の破壊的事象、拠点孤島化/VPN遮断/445遮断、紙運用、AD再構築、JIT特権。
未確定(継続調査):初期侵入の詳細、第三者提供の有無・範囲、外部発表との整合。
蓮斗の数字。
MTTD:36分 → 12分(再起動監視+偽CHKDSK検知の導入)
一次封じ込め:51分 → 29分
港湾稼働:81% → 93%
例外期限遵守率:98%
CFOは灰色の壁紙の写真を指先で送り、削除した。払わなかった。払えないものに払わないという選択が、会社を紙と声でつないだ。
12|一か月後|ポストモーテム「火曜日の教訓」
講堂に三つの時計が並ぶ。
現場の時間(港湾・配車・倉庫)
規制の時間(72時間)
経営の時間(信用・コスト・再発防止)
教訓は三行で十分だった。
言い切る(事実と可能性を混ぜない)期限を付ける(例外は48時間で自動失効)二重に確かめる(自動の間に**“人の10分”**)
やまにゃんは今日も受付で小さく光り、札には変わらない。
「速さは、戻れるときだけ味方。」
黒い仕訳は、火曜日だけでなく、手順の中にも残った。供給網の扉は人が閉める。**“払わない/広げない/戻れる速さ”**を、毎週の訓練に入れた。
—— 完
参考リンク(URLべた張り/事実ベース・一次情報/主要技術・公的整理・報道)
※物語はフィクションですが、骨格(2017年6月27日のNotPetya/M.E.Docアップデート経由の供給網侵害、偽装ランサム=実体は破壊型、MBR書換・偽CHKDSK、Salsa20でのMFT破壊、WMIC/PsExec/MS17‑010等での横展開、支払先メールの凍結、世界的障害、国家関与の公的帰属発表、海運・医薬・物流への影響、AD復旧の逸話など)は下記に基づいています。
https://www.us-cert.gov/ncas/alerts/TA17-181Ahttps://www.ncsc.gov.uk/guidance/2017-petya-ransomware-cyber-attackhttps://www.microsoft.com/security/blog/2017/06/27/new-ransomware-petya/https://securelist.com/ex-petr-analysis/79332/https://www.welivesecurity.com/2017/06/28/analysis-of-win32diskcoder-c-aka-notpetya/https://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.htmlhttps://blog.eset.ie/2017/07/04/notpetya-is-not-ransomware/https://posteo.de/blog/information-about-the-email-address-wowsmith123456-posteo-nethttps://www.gov.uk/government/news/foreign-office-minister-condemns-russian-government-for-notpetya-cyber-attackhttps://www.whitehouse.gov/briefing-room/statements-releases/2018/02/15/statement-from-the-press-secretary/https://www.reuters.com/article/us-cyber-attack-maersk/maersk-says-cyber-attack-could-cost-up-to-300-million-idUSKCN1AX1S9https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/https://www.ncsc.gov.uk/report/indicators-tools-use-against-notpetyahttps://learn.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010
主な要点:US‑CERT/NCSC/Microsoft/Cisco Talos/ESET/Kaspersky などの技術分析で手口と横展開が整理され、Posteo が攻撃者メールの停止を公表。英国政府・米政府 は2018年2月に国家関与を公式表明。Reuters が海運(Maersk)の損失規模を報じ、WIRED がAD復旧の逸話を含む長編記事で全体像を描いています。
コメント