米医療機器最大手Strykerにイラン系ハッカーのワイパー攻撃——20万台のデバイスが消去
2026年3月11日、イラン支援のハッキンググループ「Handala」が、米国最大の医療機器メーカーStryker Corporationに対するワイパー攻撃を声明した。攻撃により20万台以上のデバイス——PC、サーバー、モバイル端末——からデータが完全に消去され、同社は1週間以上経った現在もシステム復旧の最中にある。特筆すべきは、この攻撃がランサムウェアではなく、MicrosoftのMDM(モバイルデバイス管理)ツール「Intune」の正規機能を破壊的に悪用したものだという点だ。
米イラン間の武力衝突が3週目に入る中、サイバー空間でも戦争の延長線上の攻撃が医療インフラを直撃している。本記事では、攻撃の全容と手法、医療セクターへの影響、そして日本が学ぶべき教訓を解説する。
攻撃の概要——Handalaとは何者か
Handalaは、パレスチナの象徴的なキャラクター「ハンダラ」を名前に冠するイラン系ハッキンググループだ。イスラエルおよび米国の組織に対するサイバー攻撃を繰り返してきた実績があり、今回の攻撃では「イランの学校へのミサイル攻撃で168人の子どもが犠牲になったことへの報復」と主張している。
Stryker Corporationは、整形外科用インプラント、手術機器、救急医療機器などを製造する世界最大級の医療機器メーカーだ。79カ国にオフィスを構え、年間売上高は約200億ドルに達する。今回の攻撃は、この巨大企業のITインフラ全体を標的にしたものだった。
Microsoft Intuneを悪用した攻撃手法
今回の攻撃で最も注目すべきは、その手法の巧妙さだ。攻撃者はマルウェアを配布するのではなく、Strykerが正規に使用していたMicrosoft Intune(旧Microsoft Endpoint Manager)のMDMコンソールを乗っ取り、正規の管理機能である「リモートワイプ」を全デバイスに対して実行した。
Intuneのリモートワイプとは
Microsoft Intuneは、企業がPCやスマートフォンを一元管理するためのクラウドベースのMDMツールだ。デバイスの紛失・盗難時に遠隔からデータを消去する「リモートワイプ」機能は、本来セキュリティを守るための機能である。しかし、管理者権限が攻撃者に渡ると、この機能は全社的な破壊兵器に変貌する。
攻撃の流れ
攻撃は以下のステップで進行したと推定されている。
- 管理者認証情報の窃取: フィッシングまたは既知の脆弱性を利用し、Intune管理者のアカウント情報を取得
- MDMコンソールへの不正アクセス: 窃取した認証情報でMicrosoft Intuneの管理画面にログイン
- ワイプポリシーの一括適用: 全登録デバイスに対してリモートワイプコマンドを送信
- 20万台以上のデバイスが消去: PC、サーバー、モバイル端末のデータが不可逆的に消去
以下の図は、Intune悪用によるワイパー攻撃の流れを示しています。
この攻撃手法が特に危険な理由は、EDR(Endpoint Detection and Response)やアンチウイルスソフトでは検知できない点にある。ワイプコマンドはMicrosoft Intuneの正規APIを通じて送信されるため、デバイス側から見れば「IT管理者からの正当な指示」と区別がつかない。
被害の規模——20万台のデバイス消去
Handalaの声明によると、攻撃により以下の被害が発生した。
- 20万台以上のPC、サーバー、モバイル端末のデータが完全消去
- 79カ国のオフィスで業務システムが停止
- 内部ネットワーク、メールシステム、業務アプリケーションが利用不能に
- 攻撃から1週間以上経過しても完全復旧に至っていない
医療機器メーカーのシステムダウンは、製品の出荷遅延だけでなく、すでに病院で稼働中の機器のサポートにも影響する。ソフトウェアアップデートの配信やリモート監視が停止すれば、患者の安全に直接関わる事態となりうる。
Lifenet停止の影響——救急医療への波及
今回の攻撃で最も深刻な実被害の一つが、Lifenetシステムの停止だ。Lifenetは、Strykerが提供する救急医療向けの患者データ伝送システムで、救急車から病院への12誘導心電図やバイタルサインをリアルタイムで送信する。
メリーランド州では、Lifenetの機能停止により救急隊員が搬送先の病院に患者の心電図データを事前送信できなくなった。通常であれば、搬送中に心電図を病院側で確認し、心臓カテーテル室の準備を開始できるが、システムダウンにより搬送後に初めて心電図を取るという従来のワークフローに逆戻りしている。心筋梗塞の治療は「時間との戦い」であり、数分の遅れが予後を左右する。
医療セクターへのサイバー攻撃比較
以下の表は、近年の医療セクターに対する主要なサイバー攻撃を比較したものだ。
| 年 | 攻撃対象 | 攻撃種類 | 被害規模 | 動機 | 復旧期間 |
|---|---|---|---|---|---|
| 2020 | Universal Health Services | ランサムウェア(Ryuk) | 400施設で3週間停止 | 金銭要求 | 約3週間 |
| 2022 | CommonSpirit Health | ランサムウェア | 140病院に影響、$160M被害 | 金銭要求 | 数週間 |
| 2024 | Change Healthcare | ランサムウェア(ALPHV) | 1億人の医療情報漏洩 | 金銭要求($22M身代金支払い) | 数カ月 |
| 2025 | Ascension Health | ランサムウェア | 140病院、数週間の業務停止 | 金銭要求 | 数週間 |
| 2026 | Stryker | ワイパー(Intune悪用) | 20万台デバイス消去 | 政治的報復 | 復旧中 |
以下の図は、医療セクターへのサイバー攻撃が年々深刻化している推移を示しています。
注目すべきは、Strykerへの攻撃がこれまでの医療セクター攻撃とは本質的に異なる点だ。従来の攻撃は金銭目的のランサムウェアであり、身代金を支払えばデータを復旧できる(理論上は)可能性があった。しかし、ワイパー攻撃はデータの破壊そのものが目的であり、身代金を要求しない。バックアップからの復旧以外に手段がないという点で、被害の深刻度は格段に高い。
MDMセキュリティの盲点
今回の事件は、企業のIT管理ツール自体が攻撃のベクターになりうるという重大な教訓を突きつけている。
なぜMDMが狙われるのか
MDMツールは、企業内の全デバイスを制御できる「神の権限」を持っている。これはIT管理者にとっては必要な機能だが、攻撃者にとっても魅力的な標的だ。1つの管理者アカウントを侵害するだけで、数万〜数十万台のデバイスを同時に制御できる。
対策の方向性
MDMの悪用を防ぐためには、以下の多層的な対策が必要だ。
- 特権アカウントの厳格な管理: MDM管理者アカウントにはハードウェアキーによる多要素認証(MFA)を必須とする。1PasswordのようなパスワードマネージャーとFIDO2キーの組み合わせが有効だ
- ワイプコマンドの承認プロセス: 一括ワイプには複数管理者の承認を必要とする「デュアルコントロール」を実装
- 異常検知: 短時間に大量のワイプコマンドが発行された場合のアラート機能を導入
- ネットワークセグメンテーション: 医療機器とIT管理システムのネットワークを分離
日本への教訓——医療DXとセキュリティの両立
日本の医療機関にとって、今回の事件は他人事ではない。
日本の医療機関のサイバーセキュリティ現状
2024年には徳島県のつるぎ町立半田病院がランサムウェア攻撃を受け、電子カルテが使用不能になった事例が記憶に新しい。厚生労働省は「医療情報システムの安全管理に関するガイドライン」を改訂し、セキュリティ対策の強化を求めているが、特に中小規模の医療機関では予算・人材の制約からMDMのセキュリティまで手が回っていないのが実情だ。
Intune導入の増加とリスク
日本でもMicrosoft 365の導入に伴いIntuneの利用が急速に拡大している。厚労省のガイドラインではMDMの導入を推奨しているが、MDM自体がセキュリティリスクになりうるという視点は十分に議論されていない。
地政学リスクの変化
米イラン間の武力衝突が続く中、日本企業も地政学的リスクの影響を受ける可能性がある。特に米国企業と取引のある日本の医療機器メーカーや病院は、サプライチェーンを通じた間接的な被害を受けるリスクを認識すべきだ。
具体的な対策
日本の医療機関が取るべき対策は以下のとおりだ。
- MDM管理者アカウントの棚卸し: 誰がどのような権限を持っているか、不要なアカウントがないかを確認
- リモートワイプの制限設定: 一括ワイプに承認フローを設定し、単一アカウントでの大量操作を制限
- バックアップの3-2-1ルール: データを3コピー、2種類のメディア、1つはオフサイトに保管。特にMDMから隔離されたオフラインバックアップが重要
- セキュリティ訓練: IT管理者向けのフィッシング対策訓練を定期実施
- インシデントレスポンス計画: MDM侵害を想定したシナリオでの訓練を実施
まとめ——管理ツールが武器に変わる時代
Strykerへの攻撃は、サイバーセキュリティの新たな転換点を示している。ランサムウェアのように「金を払えば解決する」攻撃から、「データを完全に消し去る」ワイパー攻撃へ。しかも、その手段は企業が自ら導入した正規の管理ツールだ。
医療セクターは、患者の命に直結するインフラを守りながらDXを進めるという難題に直面している。今回の事件を受けて、以下のアクションステップを推奨する。
- 今すぐ: MDM管理者アカウントの権限を監査し、不要な管理者権限を削除する。MFA(できればFIDO2ハードウェアキー)を全管理者に適用する
- 1カ月以内: リモートワイプの一括実行に複数承認を必要とするポリシーを導入する。異常な大量操作を検知するアラートを設定する
- 3カ月以内: MDMから独立したオフラインバックアップ体制を構築する。MDM侵害を想定したインシデント対応訓練を実施する
サイバー戦争が現実となった今、「管理ツールは安全」という前提を捨て、ゼロトラストの原則をIT管理基盤そのものにも適用することが求められている。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星