黒い火曜日の地図 — NotPetyaの影で(長編フィクション)
- 山崎行政書士事務所
- 2025年9月14日
- 読了時間: 6分
— 2017年の“NotPetya”大規模破壊(M.E.Doc経由のサプライチェーン/ワイパー)を骨格にした物語
00:43|港の端で
北辰港運ターミナルの門扉は、いつもなら夜勤のフォークリフトが作る風の渦でわずかに震える。出荷管制卓のモニタに、白い文字がにじんだ。
repairing file system on C:Do not turn off your computer.
柚木は、最初それが冗談に見えた。次の瞬間、隣の画面もその隣も、黒に沈んだ。「山崎さんに電話。」柚木は言った。「今すぐ。」
01:21|“止める/伝える/回す”
静岡、山崎行政書士事務所。ホワイトボードに、律斗が三行だけ書く。
止める/伝える/回す
止める:社内ITの幹線を落とす。OT(クレーン・ゲート)は参照専用で生かし、手順書と無線で紙運用へ。
伝える:7時/正午/17時の時刻の約束。“事実”と“可能性”を段落で分ける。
回す:港を止めない。紙伝票、二名承認、復唱で遅いけど確実に出荷を続ける。
りなが付け足す。「72時間の法の時計も同時に回します。**“支払い先変更メールは無効”**は最初の三文に必ず。」
奏汰は配線図に赤を入れた。「ドメインの心臓を守りたいが、症状が悪い。全端末で黒画面。偽の復旧を装って破壊してる。」
ふみかが三文を用意する。
現状:社内端末の一部で不審な暗号化表示。IT幹線を停止し、OTは参照専用+紙運用に切替。対応:出荷は継続。伝票は手書き、復唱+二名承認。正午に一次報、17時に更新。お願い:支払い先変更などメールだけの依頼は無効。電話で二重確認を。
「時刻を入れる。不安の終わりを示すために。」りな。
02:12|“身代金”という嘘
悠真が救い出したログに、見覚えのある語が散った。psExec、wmic、lsass。「中に入ったあと、人の鍵で横移動。MBRを壊して再起動で止める。復号の筋が見えない。」りなが頷く。「“身代金”は看板。狙いは破壊。払っても戻らない。」
蓮斗が四つの数字を出す。
MTTD(検知):49分
一次封じ込め:2時間18分(見込み)
ゲート稼働率:40% → 70%(紙運用)
顧客通知率:夜明けまでに60%
律斗は言う。「勝ってはいない。**“間に合っている”**だけだ。」
03:05|地図が消えた
AD(ドメイン)が落ちた。認証は沈黙し、電気錠も電話も無口になった。北辰のドメインコントローラは海外拠点を含め百数十台。同期でどれも同じ地図を持つ——はずだった。今夜は一斉に消えた。
「地図がなければ、何も戻せない。」奏汰の声は低い。
りなは白板の端に**“最後の地図”と書いた。陽翔が思い出す。「西アフリカのテマ支店、昨日停電**で回線が落ちて、そのままだったはず。」一本の電話。眠そうな声。まだ、機械は生きていた。
04:22|ハードディスクの旅
テマ支店の古いラックから、金属色の箱が抜かれる。「帯域が細すぎる。飛ばせない。」蓮斗が首を振る。リレーが決まる。テマ → コトカ空港 → 乗継でロンドン → 成田。やり取りは十行のメールだけ。
“君の手の中に、会社の地図がある”
ハードディスクは別の国の夜を抱いて飛ぶ。港は紙で粘る。
06:30|港の朝
紙伝票に青いインクがにじむ。柚木は復唱する。「輸出、20F二本、B/Lは手書き、封緘は二名押印。」クレーンが遅く、確実に動く。受付カウンターには白い猫のマスコット。しっぽはUSB Type‑C。札には、油性ペンで書かれていた。
「遅いけど確実。」
怒号は、ない。正午という時刻が、舌打ちをため息に変えた。
12:00|正午の報
ふみかが読み上げ、りなが段落を整える。
事実:社内で破壊的挙動を確認。IT幹線を遮断し、OTは参照専用+紙運用で継続。海外拠点にドメインの残存を確認、搬送中。影響(現時点):顧客データの第三者提供の確証なし(調査継続)。出荷遅延は平均26分。約束:17時に二次報。“メールだけ”の依頼は無効。必ず電話で。
声が届く。人が落ち着く。紙が回る。
13:40|“誰かが入口を作った”
悠真が時計を指す。「最初の侵入は会計ソフトの更新。国を跨いだ供給網。」“M.E.Doc”という固有名は、ここでは伏せられた。けれど、どこかの、誰かの、“正規の更新”に紛れた刃が、世界を切ったことは確かだった。
りなはFAQに一行を追加する。
「不当な要求には応じません。証跡の確保と関係機関との連携を優先します。」
“払えば戻る”は嘘だ。それはこの攻撃の設計に書かれている。
16:55|二次報の前
ハードディスクは雲を越え、夕方のターミナルに降りた。成田から白いケースがパトランプ付きで港へ向かう。紙運用の遅延は20分へ。蓮斗の四つの数字が更新される。
MTTD:49分 → 19分(監視窓の調整後)
一次封じ込め:2h18m → 1h03m
出荷遅延平均:26分 → 20分
顧客通知率:100%(正午まで)維持
17:00|二次報
封じ込め:IT幹線の遮断継続、OT参照専用、紙運用で出荷。ドメイン地図は取得済、復元工程へ。影響:安全停止に伴う遅延あり。第三者提供の確証なし(継続調査)。次:明朝までに認証の骨を再構築し、業務ごとに段階復帰。法的報告は72時間線を遵守。
律斗はペン先で小さな丸を描く。「一次封じ込め完了。次は“残す”。」
20:12|“地図”が戻る
アクティブディレクトリの地図が、新しい林へ接ぎ木される。GPOは最小、権限は絞り、ログは1分で別経路に複写。何千台という端末に、同じ清潔な朝を流し込む儀式が始まった。
港の夜は眠らない。人が地図を描き直す。
2日目 08:10|“回す”という結論
予約は電子に戻りつつも、復唱は続ける。管理者権限は業務ごとに切り分け、“全部の鍵束”を誰にも渡さない。二要素は強制。例外は48時間で自動失効。
柚木は猫の札を見て笑った。「遅いけど確実、ね。」りなが返す。「言い切る文は、手の震えを止めます。」
3日目|“72時間”を越える
PPCへの報告は段落で分けられ、委託先には共同の文が配られる。“確認された事実”、“未確定(継続調査)”、“封じ込め”、“再発防止”。短く、しかし厚く。
港はほぼ通常。教訓は壁に残った。
二週間後|ポストモーテム「地図と川」
講堂に三つの時計が並ぶ。
現場の時間(ゲート・クレーン・紙)
規制の時間(72時間)
経営の時間(信用・費用・再発防止)
蓮斗の数字。
MTTD:49分 → 14分
一次封じ込め:2h18m → 1h02m
出荷遅延平均:26分 → 8分
例外期限遵守率:97%
りなは三つの原則で締める。
言い切る(事実と可能性を混ぜない)期限を付ける(例外は時間で管理)二重に確かめる(“メールと声だけ”を信用しない)
律斗は端に書いた。
「信頼は、地図(ディレクトリ)と手続きでできている。」
港の空には、遅れていたコンテナの影がいつもの規則で並ぶ。黒い火曜日を越えて、人が川をもう一度流した。
—— 完
参考リンク(事実ベース・一次情報/主要報道)
※物語はフィクションですが、骨格(攻撃の性質・時系列・被害の広がり・復旧上の要点)は下記に基づいています。
https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/https://www.cisa.gov/news-events/alerts/2017/06/27/multiple-petya-ransomware-infections-reportedhttps://trumpwhitehouse.archives.gov/briefings-statements/statement-press-secretary-25/https://www.microsoft.com/en-us/security/blog/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/https://blog.talosintelligence.com/worldwide-ransomware-variant/https://www.welivesecurity.com/2017/06/30/telebots-back-supply-chain-attacks-against-ukraine/https://www.reuters.com/article/technology/white-house-blames-russia-for-reckless-notpetya-cyber-attack-idUSKCN1FZ0PR/https://www.reuters.com/article/maersk-results/update-1-shipper-maersk-reports-q2-net-loss-sees-cyber-attack-bill-at-200-300-mln-idINL8N1L21HM
コメント