_edited.png&w=3840&q=75){kind=small}
破壊型サイバー攻撃(Microsoft Intune悪用)破壊型攻撃医療機器海外事例Microsoft Intune
米Stryker社、イラン系ハクティビストによるMicrosoft Intune悪用で79カ国の業務が停止
Stryker Corporation(米国)
影響規模:79カ国、20万台以上のデバイスが影響
インシデントの概要
2026年3月11日、米国の大手医療機器メーカーStryker Corporationが、イラン系ハクティビストグループ「Handala」(国家支援型アクター Void Manticore と関連)によるサイバー攻撃を受けました。
攻撃の手法
従来のランサムウェアとは根本的に異なる手法が使用されました:
- 攻撃者がStrykerのMicrosoft Intune(エンドポイント管理ツール)の管理者権限を不正取得
- Intuneのリモート管理機能を悪用し、79カ国の20万台以上のデバイスに対して「ファクトリーリセット(工場出荷状態への初期化)」コマンドを一斉送信
- 社員のPC、モバイルデバイスが一斉にワイプされ、業務遂行が不可能に
被害の規模
| 項目 | 内容 |
|---|---|
| 影響範囲 | 79カ国のグローバル拠点 |
| 影響デバイス数 | 20万台以上 |
| 業務への影響 | 製造、受注、出荷が一時停止 |
| 医療製品への影響 | なし(患者向け医療機器は影響を受けず) |
| 復旧完了 | 2026年4月初旬 |
| 財務への影響 | 2026年第1四半期の業績に重大な影響あり |
政府の対応
- StrykerはPalo Alto Networks(Unit 42)、FBI、CISA、ホワイトハウス国家サイバーディレクターと連携して対応
- CISAが緊急アラートを発出: Microsoft Intuneなどのエンドポイント管理ツールの保護強化を全米組織に勧告
情報出典: Stryker Corporation 公式声明、Cybersecurity Dive 報道、SecurityWeek 報道、Obsidian Security 分析レポート
なぜこのインシデントが起きたのか ー 侵入経路と原因
Microsoft Intuneの管理者権限が攻撃の核心
- 管理者アカウントの侵害: Intuneの管理者アカウントが窃取された。フィッシングまたはSSOの設定不備が原因と推定
- 多要素認証の不備: 最高レベルの権限を持つ管理者アカウントに、フィッシング耐性のある多要素認証が適用されていなかった可能性
- 高影響コマンドの承認不在: 20万台を一斉ワイプするような高影響操作に対する多人数承認(Multi-Admin Approval)が設定されていなかった
- 動機は政治的: 金銭目的ではなく地政学的報復が動機のため、交渉の余地がなく被害が最大化された
日本企業が学ぶべき教訓
1. MDM/エンドポイント管理ツールの保護は最優先
Microsoft Intune、Jamf、VMware Workspace ONEなどのエンドポイント管理ツールは、管理下のすべてのデバイスを制御できる「神の権限」を持ちます。CISAの勧告に従い、以下を実施すべきです:
- 管理者アカウントにフィッシング耐性MFA(FIDOキー等)を強制
- 高影響コマンド(初期化、アプリ配布等)に多人数承認を必須化
- 管理操作のログ監視とアラートを設定
2. 「破壊型攻撃」に備えたBCP
ランサムウェアのように「身代金を払えば復旧できる」のではなく、デバイスが完全にワイプされるシナリオに備え、オフラインバックアップと代替業務手段を準備しておきましょう。
3. サプライチェーンとしてのリスク
Strykerの医療機器を使用する病院や医療機関にとって、本件はサプライチェーンリスクの典型例です。主要取引先のセキュリティ体制を評価することの重要性を示しています。