イランの情報機関と関連のあるハクティビスト集団が、ミシガン州に本拠を置く世界的な医療技術企業Strykerに対するデータ削除攻撃の責任を主張しています。アイルランドからのニュース報道によると、アメリカ国外でのStrykerの最大拠点であるアイルランドで、同社は本日5,000人以上の従業員を帰宅させました。一方、Strykerの米国本社の留守番電話メッセージは、同社が現在建物内で緊急事態を経験していると述べています。
ミシガン州カラマズーに本拠を置くStryker [NYSE:SYK]は、昨年世界的に250億ドルの売上を報告した医療・外科機器メーカーです。Telegramに投稿された長文の声明の中で、Handala(別名Handala Hack Team)として知られるハクティビスト集団は、20万以上のシステム、サーバー、モバイルデバイスからデータを消去した後、79か国のStrykerのオフィスが閉鎖されたと主張しています。
医療技術企業Strykerに対する大規模データ削除攻撃を主張するイラン支援のハクティビスト集団Handalが投稿したマニフェスト。
「取得されたすべてのデータは今や世界の自由な人々の手の中にあり、人類の真の進歩と不正と腐敗の露出のために使用される準備ができています」とHandalaの声明の一部に記載されています。
同集団は、ワイパー攻撃が2月28日にイランの学校に命中し、少なくとも175人(その大多数が子どもたち)を殺害したミサイル攻撃への報復であると述べています。ニューヨーク・タイムズは本日報道し、進行中の軍事調査により米国がこの致命的なトマホークミサイル攻撃の責任があると判断されたことを伝えています。
Handalは、最近Palo Alto Networksによってプロフィール化された複数のハッカー集団の一つであり、イランの情報セキュリティ省(MOIS)に関連しています。Palo Altoは、Handalが2023年後半に浮上し、Void ManticoreというMOIS関連の行為者によって維持されている複数のオンラインペルソナの一つとして評価されていると述べています。
Strykerのウェブサイトによると、同社は61か国に56,000人の従業員を有しています。水曜日の朝にStrykerのミシガン州本社のメディアラインに電話をかけると、「現在建物内で緊急事態が発生しています。後でお電話ください」と述べる留守番電話メッセージが流れました。
水曜日の朝のIrish Examinerからの報道によると、Strykerのスタッフは現在、職場に戻れるタイミングについてのアップデートのためにWhatsAppを通じて連絡を取り合っています。この記事は、ネットワークに接続されているすべてのものがダウンしており、「個人の携帯電話にMicrosoft Outlookを持っている誰でもそのデバイスがワイプされた」と述べた匿名の従業員の引用がありました。
「複数のソースが、Corkの本社のシステムが『シャットダウン』されており、従業員が保有するStrykerデバイスがワイプされていると述べています」とExaminerは報道しました。「これらのデバイスに表示されているログインページはHandalaのロゴで改ざんされています。」
ワイパー攻撃は通常、感染したデバイス上の既存データを上書きするために設計された悪意のあるソフトウェアを含みます。しかし、攻撃について知識を持つ信頼できる情報源は、匿名の条件でKrebsOnSecurityに対し、この場合の加害者はMicrosoft Intuneと呼ばれるMicrosoftサービスを使用して、接続されているすべてのデバイスに対して「リモートワイプ」コマンドを発行したようであると述べました。
Intuneは、ITチームがセキュリティおよびデータ準拠ポリシーを実施するために構築されたクラウドベースのソリューションであり、場所に関係なくデバイスを監視および制御するための単一のウェブベースの管理コンソールを提供しています。Intuneの接続は、StrykerのストライキについてのこのRedditのディスカッションでサポートされており、Strykerの従業員であると主張する複数のユーザーが、Intuneをすぐにアンインストールするよう指示されたと述べています。
Palo Altoは、Handalのハック・アンド・リークの活動は主にイスラエルに焦点を当てており、特定の議題に役立つ場合には他の対象に時々ターゲットを当てることがあると述べています。セキュリティ企業は、Handalがヨルダンの燃料システムやイスラエルのエネルギー探査企業に対する最近の攻撃についても責任を認めていると述べています。
「最近観察された活動は日和見的で『急速かつ乱暴』で、ダウンストリーム被害者に到達するためのサプライチェーンの足がかり(例:IT/サービスプロバイダー)への顕著な焦点があり、その後『証拠』投稿が信用性を増幅し、ターゲットを脅迫しています」とPalo Alto研究者は述べました。
Telegramに投稿されたHandalaのマニフェストはStrykerを「シオニスト的背景を持つ企業」と呼び、これは同社の2019年のイスラエル企業OrthoSpaceの買収を参照している可能性があります。
Strykerは医療機器の主要供給業者であり、進行中の攻撃はすでにヘルスケアプロバイダーに影響を与えています。米国の大規模な大学医学システムの医療専門家の一人がKrebsOnSecurityに対し、彼らは現在通常Strykerから調達する手術用品を注文することができないと述べました。
「これは実世界のサプライチェーン攻撃です」と、プレスに話す権限がなかったため匿名でいることを希望した専門家は述べました。「米国のほぼすべての手術を行う病院が彼らの医療用品を使用しています。」
American Hospital Association(AHA)の全国アドバイザーであるJohn Riggiは、AHAはまだサプライチェーンの混乱を認識していないと述べました。
「私たちはStrykerに対するサイバー攻撃の報告に気づいており、病院分野と米国政府と積極的に情報を交換して、脅威の性質を理解し、病院業務への影響を評価しています」とRiggiはメールで述べました。「現時点では、この攻撃の結果として米国の病院への直接的な影響や混乱を認識していません。病院がStrykerに関連するサービス、技術、サプライチェーンを評価する場合、および攻撃の期間が延長される場合、それが変わる可能性があります。」
メリーランド州の緊急医療サービスシステム研究所からの3月11日の覚書によると、Strykerは「グローバルネットワーク障害」によって影響を受けたコンピュータシステムの一部があることを示しました。覚書は、攻撃に対する対応として、多くの病院がStrykerの様々なオンラインサービス(LifeNetを含む)への接続を切断することを選択したことを示しています。LifeNetは救急車が医学医師にEKGを送信できるようにするサービスで、心筋梗塞患者が病院に到着した時に彼らの治療をスピードアップできます。
「予防措置として、一部の病院はLifeNetを含むStrykerシステムへの接続を一時的に中止しており、他の病院は接続を維持しています」とその州のEMS医学ディレクターであるTimothy Chizmarは述べました。「メリーランド医学プロトコル(EMS)は急性冠症候群(またはSTEMI)の患者のECG送信を必要とします。しかし、12リードECGを受け入れ病院に送信できない場合は、ラジオ相談を開始し、ECGの所見について説明する必要があります。」
これは進展中のストーリーです。アップデートはタイムスタンプ付きで記載されます。
更新、東部標準時午後2:54:Riggiからのコメント、およびこの攻撃がヘルスケアシステムのサプライチェーンの問題に転じる可能性についての視点を追加しました。
更新、3月12日、東部標準時午前7:59:Strykerのオンラインサービスの停止に影響する情報を追加しました。
翻訳元: https://krebsonsecurity.com/2026/03/iran-backed-hackers-claim-wiper-attack-on-medtech-firm-stryker/
