3時間で79カ国のオフィスが消えた——医療機器メーカーStrykerに何が起きたか

2026年3月11日午前5時(協定世界時)、Strykerの社員がパソコンを起動すると、画面には見慣れない黒いロゴが映し出されていた。イランに関連するハクティビスト集団「Handala」のシンボルだ。翌8時まで、わずか3時間で世界79カ国に拠点を持つ医療機器大手が保有する20万台超のシステム・サーバー・モバイルデバイスが、リモートで完全消去された。

この攻撃が従来のランサムウェアと一線を画すのは、マルウェアをいっさい使っていない点だ。攻撃者はまずStrykerの管理者アカウントを奪取し、マイクロソフトが提供するクラウド端末管理ツール「Microsoft Intune」の管理コンソールに侵入した。Intuneは本来、企業のIT部門がPC・スマートフォン・タブレットを一括設定・管理するための正規ツールだ。攻撃者はその「工場出荷状態にリセット(Factory Reset)」コマンドを、世界中に配布済みの端末に対して同時送信した。

年間売上250億ドル、56,000人が61カ国で働くStrykerでは、アイルランドの主要拠点だけで5,000人以上が帰宅を余儀なくされた。受注・製造・出荷が全面停止し、救急隊員はStryker製の心電図転送システム「LifeNet」から病院へEKGを送れなくなった。武器は新型マルウェアではなく、企業が信頼しきっているクラウドの管理インフラそのものだった。

元記事・原文引用

元ネタIran-Backed Hackers Claim Wiper Attack on Medtech Firm Stryker(Krebs on Security / 2026年3月)

“Rather than deploying traditional malware, they issued remote wipe commands through Intune’s administrative console, eliminating the need for conventional wiper malware deployment.”

Handalaとは何者か——イラン治安省が「偽市民」を演じる理由

Handalaは独立したハクティビスト集団ではなく、イランの治安省(Ministry of Intelligence and Security、以下MOIS)が操る「偽装ペルソナ」だ。セキュリティ研究者らは2023年末のHandala登場当初から同省との関連を指摘してきたが、2026年3月20日、米司法省が公式に「Handalaはイランのモイスが偽の活動家として運営している組織だ」と認定し、米連邦捜査局がHandala関連ドメインを差し押さえた。Handalaはより大きな同省傘下の脅威アクター「Void Manticore」のペルソナの一つとされ、主にイスラエルをターゲットにしてきた経緯がある。

今回のStryker攻撃の動機としてHandalaが掲げたのは、「2026年2月28日のイスラエル・米国共同作戦によるイラン最高指導者ハメネイ師の死亡」と「テヘラン南部ミナブ学校への空爆(175人死亡、大半が子ども)」への報復だ。なぜ政府機関が市民活動家を偽装するのか。攻撃の「政治的コスト」を下げるためだ。国家が直接サイバー攻撃を行えば外交問題・報復リスクが高まるが、「怒れる民間ハクティビスト」の仕業であれば帰属の証明が困難になり、責任の所在を曖昧にできる。同省にとって偽装ペルソナは、地政学的緊張を「民間の怒り」として消費させるための外交的隠れ蓑だ。

「この攻撃はほんの始まり」——米政府・メディア・専門家が示した三つのトーン

米政府の対応は異例の速さだった。司法省とFBIは攻撃からわずか9日後に帰属を公表した。通常、サイバー攻撃の帰属公表には数週間から数ヶ月かかる。The Registerは「CISAが調査に乗り出し、FBIのドメイン差し押さえと司法省の帰属認定がほぼ同時進行したのは、イランに対する政治的メッセージを込めた異例の速攻だ」と分析した。

医療業界のメディアは「患者の安全を脅かした攻撃」として大きく報じた。CNNポリティクスやHIPAAジャーナルは病院が手術器具を発注できなくなった点や救急心電図の送信不能を詳細に取り上げた。一方でStryker自身は「患者に関するサービスや医療製品への接続には影響しなかった」と公式声明を発表しており、医療リスクの評価についてメディアと企業間のトーンには明確なギャップが残る。

セキュリティ専門家の視点はさらに先を見る。セキュリティ研究者のKevin Beaumont氏は今回のMicrosoft Intune悪用を「次の主流攻撃ベクター」と指摘した。The Registerは「Handalaによる今回の攻撃は、これまでイスラエル中心だった活動が欧米の大企業へ本格展開した最初の大規模事例であり、手口の模倣が広がる可能性がある」と報じている。

Intuneが武器になる日——日本企業が今日確認すべきこと

今回の攻撃手法はStryker固有の問題ではない。Microsoft Intuneは世界中の大企業が端末管理に使う標準ツールだ。管理者アカウントを奪取してリモートワイプを発動するという手順は、Intuneを導入しているいかなる組織でも理論上再現可能な攻撃経路だ。オリンパス・テルモ・シスメックス・キヤノンメディカルシステムズなど医療機器に強みを持つ日本企業もマイクロソフト環境を広く活用しており、このシナリオは対岸の火事ではない。

対策の核心は三点に集約される。第一に「特権管理者アカウントへの多要素認証(MFA)の徹底」、第二に「Intuneの条件付きアクセスポリシーの見直しと不審なワイプコマンドへのアラート設定」、第三に「端末管理ツールの操作ログのリアルタイム監視体制の構築」だ。米CISAも今回の攻撃を受けて調査を開始しており、今後、管理ツールの権限設計に関するガイダンスが更新される可能性が高い。

国家が民間ハクティビストを偽装し、企業が信頼するインフラを逆用して攻撃する時代に、防御の主役は誰なのか。政府の帰属公表を「ニュース」として消費するだけでなく、自社のIntune管理コンソールに何人の管理者が無制限アクセスを持つかを今日確認するところから始めるべきだろう。

参照・原文リンク