医療機器大手Strykerが20万台消去——Intune悪用の衝撃

79カ国のオフィスが停止、20万台以上のデバイスが一斉に初期化、50TBのデータが窃取——医療機器大手Strykerが、自社のIT管理ツールを逆手に取られるという前代未聞のサイバー攻撃を受けました。

2026年3月11日、イラン情報セキュリティ省（MOIS）と関連があるとされるハクティビスト集団「Handala」が犯行声明を発表。Strykerが世界中のデバイス管理に使用していたMicrosoft Intuneの「リモートワイプ」機能を悪用し、PCやサーバー、モバイルデバイスのデータを一括消去したと主張しています。この事件は、企業が信頼して導入しているMDM（モバイルデバイス管理）ツール自体が壊滅的な攻撃ベクターになりうることを世界に突きつけました。

Strykerとは——医療機器業界のグローバルリーダー

Strykerは1941年設立の米国ミシガン州に本社を置く医療機器メーカーで、整形外科インプラント、手術用ロボット、医療用ベッドなどを製造するFortune 500企業です。2025年の年間売上高は約220億ドル（約3.3兆円）、世界79カ国にオフィスを構え、約5万人の従業員を抱えています。

手術室で使われるロボットアームから、病室のベッドに組み込まれたIoTセンサーまで、Strykerの製品は世界中の病院インフラに深く組み込まれています。それだけに、同社のIT基盤が壊滅的な被害を受けたことの影響は計り知れません。

攻撃の全容——Intuneリモートワイプの悪用

ワイパー攻撃とは

ワイパー攻撃とは、ランサムウェアのようにデータを暗号化して身代金を要求するのではなく、データそのものを完全に消去・破壊することを目的としたサイバー攻撃です。復旧の可能性を極力排除し、対象組織に最大限のダメージを与えることが目的です。

過去にはロシアによるウクライナ侵攻時の「WhisperGate」「HermeticWiper」など、国家支援型のワイパー攻撃が複数確認されていますが、今回のStryker攻撃はその規模と手法の両面で異例です。

Microsoft Intune——MDMの仕組みと「リモートワイプ」

Microsoft Intuneは、Microsoftが提供するクラウドベースのMDM（モバイルデバイス管理）/ UEM（統合エンドポイント管理）サービスです。企業はIntuneを使って、従業員のPC、スマートフォン、タブレットを一元管理できます。主な機能には以下があります。

デバイス登録・構成管理: ポリシーの一括配布、アプリのインストール
コンプライアンスチェック: セキュリティ要件を満たさないデバイスのアクセス制限
リモートワイプ: 紛失・盗難時にデバイスのデータを遠隔で完全消去

このリモートワイプ機能は本来、端末の紛失や従業員の退職時にデータ漏洩を防ぐための安全装置です。しかし、管理者権限を持つアカウントが乗っ取られた場合、この「安全装置」が最大の武器に変わります。

攻撃フローの詳細

以下の図は、Handalaが実行したとされる攻撃の4ステップを示しています。

Intune悪用によるワイパー攻撃フロー — 初期侵入からリモートワイプ発令、20万台以上のデバイスデータ消去までの4ステップ

攻撃は以下の手順で進行したと推定されています。

1. 初期侵入と資格情報の窃取

Handalaはまず、StrykerのIT管理者の資格情報を取得しました。具体的な侵入経路は現時点では公表されていませんが、フィッシングメール、ダークウェブでの資格情報購入、あるいはサプライチェーン攻撃を経由した可能性が指摘されています。MDM管理者アカウントは通常、組織内の全デバイスに対する最高レベルの権限を持つため、攻撃者にとって最も価値の高い標的です。

2. Intune管理コンソールへのアクセス

窃取した資格情報でMicrosoft Intuneの管理コンソールに正規ユーザーとしてログイン。MDMの管理画面は正規の管理操作と攻撃操作を区別できないため、不正アクセスであっても通常の管理作業と同じように操作できてしまいます。

3. リモートワイプコマンドの一括発令

管理コンソールから、Strykerが管理する全デバイスに対してリモートワイプコマンドを発行。Intuneのリモートワイプは「Factory Reset（出荷時設定へのリセット）」と「Retire（企業データのみ削除）」の2種類がありますが、今回はFactory Resetが使用されたとみられています。

4. 20万台以上のデバイスが初期化

ワイプコマンドを受信したデバイスは、次にネットワークに接続した時点で自動的に初期化を開始。PC、サーバー、スマートフォン、タブレット、そして医療機器管理システムに至るまで、79カ国に散在する20万台以上のデバイスのデータが消去されました。

50TBのデータ窃取

Handalaはワイプ実行前に50TBのデータを窃取したとも主張しています。医療機器メーカーのデータには、患者の医療情報、製品設計図、知的財産、サプライチェーン情報などが含まれる可能性があり、情報漏洩としての被害も深刻です。

攻撃の動機——地政学的背景

Handalaは、2026年2月28日にイランの学校施設への空爆で175人以上が死亡したことへの「報復」だと声明しています。Strykerが直接的に軍事に関与しているわけではありませんが、米国の大企業を標的にすることで最大限のインパクトを狙ったとみられます。ハクティビスト集団が地政学的動機でサイバー攻撃を行うケースは増加傾向にあり、企業は自社の事業内容にかかわらず攻撃対象になりうる時代です。

過去の主要サイバー攻撃との比較

今回のStryker攻撃を過去の主要なサイバー攻撃と比較し、その規模と特異性を整理します。

攻撃名	年	種類	影響規模	手法	攻撃者（推定）
Stryker / Handala	2026	ワイパー（MDM悪用）	79カ国・20万台消去	Intune リモートワイプ	イランMOIS系
NotPetya	2017	ワイパー	全世界・100億ドル被害	M.E.Doc更新機能悪用	ロシアGRU
WannaCry	2017	ランサムウェア	150カ国・30万台感染	EternalBlue脆弱性	北朝鮮Lazarus
SolarWinds	2020	サプライチェーン	米政府機関・18,000組織	Orion更新に不正コード	ロシアSVR
Colonial Pipeline	2021	ランサムウェア	米東海岸燃料供給停止	VPNパスワード流出	DarkSide
MOVEit	2023	データ窃取	2,500組織・9,000万人	ゼロデイ脆弱性	Cl0p
Change Healthcare	2024	ランサムウェア	米医療請求の40%停止	リモートアクセス侵入	BlackCat/ALPHV

注目すべきは、Stryker攻撃が正規のIT管理ツールを攻撃に転用したという点です。NotPetyaやSolarWindsもソフトウェアの更新機能を悪用しましたが、それらは不正コードの埋め込みが必要でした。一方、Intune悪用は管理者権限さえ奪えばツールの正規機能をそのまま攻撃に使えるという点で、検知が極めて困難です。

MDMが「諸刃の剣」である理由

MDMは企業のセキュリティを強化するために導入されるツールですが、今回の事件はMDMが持つ構造的なリスクを浮き彫りにしました。

中央集権的な権限構造

MDMは「1つの管理コンソールから全デバイスを制御できる」ことが最大の利点ですが、これは同時に単一障害点（Single Point of Failure） を生み出します。管理者アカウントが1つ侵害されるだけで、組織全体のデバイスが攻撃者の手に落ちる可能性があります。

リモートワイプの不可逆性

リモートワイプ（Factory Reset）は一度実行されると取り消せません。ランサムウェアであれば暗号化キーが存在する限り復号の可能性がありますが、ワイプされたデバイスのデータは物理的に消去されるため、バックアップがなければ復旧は不可能です。

正規操作との区別の困難さ

MDM経由のリモートワイプは正規の管理操作として実行されるため、従来のセキュリティ製品（EDR、ファイアウォール等）では不正操作として検知できません。「正規のツールを正規の手順で使った攻撃」は、セキュリティ業界で「Living off the Land（環境寄生型攻撃）」と呼ばれる手法の究極形と言えます。

日本企業のMDM利用状況とリスク

日本におけるMDM導入の現状

日本企業のMDM導入率は年々上昇しており、総務省の「通信利用動向調査」によればテレワーク導入企業の約60%がMDMを利用しています。特にコロナ禍以降、リモートワークの普及に伴いMicrosoft Intuneの導入が急増しました。Microsoft 365を利用する日本企業の多くがIntuneをバンドルで導入しているため、今回の攻撃手法は日本企業にとっても他人事ではありません。

日本特有のリスク要因

1. MDM管理者権限の集中

日本企業では情報システム部門が少人数で運用されるケースが多く、MDM管理者アカウントが1〜2名に集中していることが珍しくありません。これは攻撃者にとって標的が明確で、かつ侵害時の影響が最大化されることを意味します。

2. 多要素認証（MFA）の導入遅れ

IPAの「情報セキュリティ10大脅威 2026」でも指摘されているように、日本企業の管理者アカウントにおけるMFA導入率は欧米と比較して低い水準にあります。1PasswordのようなパスワードマネージャーとMFAの組み合わせが普及していない組織では、フィッシングやパスワードリスト攻撃のリスクが高まります。

3. 医療分野のIT脆弱性

日本の医療機関はIT予算が限られており、2022年の大阪急性期・総合医療センターへのランサムウェア攻撃では電子カルテシステムが約2カ月間停止しました。医療機器メーカーへの攻撃は、サプライチェーンを通じて日本の医療現場にも波及する可能性があります。

日本企業が今すぐ確認すべきこと

IntuneなどMDM管理者アカウントにMFA（多要素認証）が設定されているか
リモートワイプの実行に承認ワークフローが組み込まれているか
MDM操作ログがSIEMに連携され、異常な大量操作のアラートが設定されているか
バックアップがMDMの影響範囲外（オフライン・イミュータブル）に保管されているか

企業が取るべきMDMセキュリティ対策

今回の事件を教訓に、MDMを安全に運用するための多層防御モデルを以下に示します。

MDMセキュリティ対策多層防御モデル — ID認証・MDM構成・ネットワーク監視・データ保護の4レイヤーで防御する図

この図は、Intune悪用攻撃を防ぐために必要な4つの防御レイヤーを示しています。1つのレイヤーが突破されても、次のレイヤーで攻撃を食い止める多層防御の考え方が重要です。

レイヤー1: ID・認証の強化

MDM管理者アカウントは組織内で最も強力な権限を持つため、最も強固な認証を適用する必要があります。

フィッシング耐性のあるMFA: FIDO2セキュリティキーやWindows Hello for Businessの導入。SMS認証やアプリ認証だけでは不十分
特権ID管理（PIM）: Azure AD Privileged Identity Managementを使い、MDM管理者権限を「必要な時だけ」有効化するJust-in-Time方式に
条件付きアクセスポリシー: 管理者操作は特定のIPアドレス範囲やコンプライアンス準拠デバイスからのみ許可
パスワード管理の徹底: 1Passwordなどのパスワードマネージャーで強力なパスワードを管理し、使い回しを根絶

レイヤー2: MDM構成の安全化

MDMツール自体の設定で、悪用された場合の被害を最小化する対策を講じます。

ワイプ操作の承認ワークフロー: 複数管理者の承認がなければワイプを実行できない仕組みを導入
一括操作の台数制限: 一度にワイプできるデバイス数に上限を設定（例: 10台まで）
段階的なロールアウト: デバイスグループを分割し、全デバイスに一括でコマンドを送れない構成に
管理者ロールの最小権限化: ワイプ権限を持つ管理者を限定し、日常運用の管理者にはワイプ権限を付与しない

レイヤー3: ネットワーク・監視

異常な操作をリアルタイムで検知し、攻撃の進行を早期に食い止めます。

SIEM連携: IntuneのログをMicrosoft Sentinel等のSIEMに連携し、大量ワイプ操作のアラートを設定
異常検知ルール: 「1時間に100台以上のワイプ操作」など、通常ありえない操作パターンの自動ブロック
ゼロトラストネットワーク: NordVPNのようなVPNサービスに加え、ゼロトラストアーキテクチャの導入で「信頼しない、常に検証する」アプローチを実現

レイヤー4: データ保護・バックアップ

最悪の事態（全デバイスワイプ）に備え、復旧可能な状態を維持します。

3-2-1バックアップルール: データのコピーを3つ、2種類の媒体に、1つはオフサイトに保管
イミュータブルバックアップ: 上書き・削除不可のストレージにバックアップを保管し、ワイパー攻撃でも破壊されない状態を確保
MDM管理外バックアップ: バックアップシステムをMDMの管理範囲外に配置し、MDMが侵害されてもバックアップは無事な構成に
定期的な復旧訓練: バックアップからの復旧手順を定期的にテストし、実際の被害時に迅速に対応できる体制を整備

今後の業界への影響

MDMベンダーの対応

今回の事件を受け、Microsoft はIntuneに「大量ワイプ操作の自動ブロック機能」や「リスクベースの操作承認」の導入を検討していると報じられています。他のMDMベンダー（Jamf、VMware Workspace ONE、Ivanti等）も同様の安全機能の強化を迫られるでしょう。

サイバー保険への影響

MDMの悪用による大規模被害は、サイバー保険業界にとっても新たなリスク評価の対象となります。保険会社はMDM管理者アカウントのセキュリティ体制を保険引受の審査項目に追加する可能性が高く、MFA未導入の企業は保険料の大幅な増額や引受拒否に直面する可能性があります。

規制強化の流れ

米国ではすでにCISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）がMDMのセキュリティガイドラインの強化を発表しています。日本でも経済産業省の「サイバーセキュリティ経営ガイドライン」の改訂時にMDM管理の要件が追加される可能性があります。

まとめ——今すぐ取るべき3つのアクション

Strykerへのワイパー攻撃は、企業のセキュリティを守るはずのMDMツールが最大の攻撃ベクターになりうることを実証しました。「自社のMDMは大丈夫か」——この問いに即座に答えられない企業は、今すぐ以下のアクションを実行すべきです。

MDM管理者アカウントのMFA監査を実施する: すべてのMDM管理者アカウントにフィッシング耐性のあるMFA（FIDO2キー等）が設定されているか確認。未設定のアカウントは即時対応。1Passwordを導入し、パスワード管理も強化する
リモートワイプの承認フローと台数制限を導入する: ワイプ操作に複数管理者の承認を必須化し、一括操作の台数上限を設定。IntuneであればAzure AD PIMと連携した特権管理を構成する
MDM管理外のイミュータブルバックアップを確保する: バックアップをMDMの管理範囲外に配置し、上書き・削除不可のイミュータブルストレージに保管。復旧手順のテストを四半期ごとに実施する

サイバー攻撃の手法は常に進化しています。「管理ツールは安全」という前提を疑い、管理ツール自体が侵害された場合のシナリオを想定した防御体制を構築することが、これからの企業セキュリティの最重要課題です。