世界的な医療技術の巨人Strykerは2026年3月11日に大規模なサイバーセキュリティ事件に見舞われ、数千台の企業デバイスのリモートワイプが行われました。
Handalaとして知られるイラン支持派のハクティビストグループが攻撃の責任を主張し、Strykerの内部Microsoft環境、製造、および出荷業務を深刻に混乱させました。
技術的実行ベクトル
従来の破壊的なサイバー攻撃とは異なり、脅威アクターはカスタムワイパーマルウェアやランサムウェアを展開しませんでした。
代わりに、攻撃者はStrykerのMicrosoft Intune環境、つまりクラウドベースのモバイルデバイス管理プラットフォームを侵害しました。
管理者認証情報を取得することで、ハッカーは正規のリモートワイプ機能を悪用して、79か国にわたる数万台のWindowsエンドポイントに同時にファクトリーリセットコマンドを発行し、一部のオフィスではデバイスを切断できる前に95%までのデバイスを削除しました。
イラン関連のハッキンググループHandalaが侵害の責任を主張し、政治的に動機付けられたものだと述べました。
グループは、破壊的なワイプを開始する前に、20万以上のシステムをワイプし、50テラバイトの機密企業データを流出させたと主張しています。
Handalaは自らを独立したハクティビスト活動と描写していますが、Palo Alto Networksのサイバーセキュリティ研究者は、このグループがイラン情報安全保障省の直下で活動していると評価しています。
Strykerの内部企業ITネットワークに対する深刻な混乱にもかかわらず、同社は医療機器とコネクテッドヘルスプラットフォームが完全に安全で運用可能なままであることを確認しました。
Strykerの重要な命を救う技術は、影響を受けたMicrosoft環境から建築上隔離されており、患者データや病院ネットワークが危険にさらされないようにしています。以下の製品およびアーキテクチャは影響を受けません:
- VoceraとCare.aiは、独立したAmazon Web ServicesおよびGoogle Cloud Platformインフラストラクチャで動作します。
- Vocera EdgeなどのLinuxベースのシステムは、このWindows重点のデバイス管理攻撃ベクトルに本来的に免疫があります。
- Mako Systemsの手術用ロボティクスプラットフォームはローカルプランニングシステムに依存しており、企業ネットワーク接続を必要としません。
- LIFEPAKおよびSurgiCountデバイスは独自のセキュリティプロトコルを利用し、Strykerの内部ネットワークから完全に独立して動作します。
インシデント緩和戦略
Strykerはネットワークの混乱を検出するとすぐにインシデント対応計画を発動し、外部のサイバーセキュリティ専門家と政府機関のパートナーと協力して作業しました。
攻撃は悪意のあるペイロードではなく正規の管理者ツールを武器化したため、Strykerはシステムに展開されたマルウェアやランサムウェアの証拠が見つからないと正確に報告しました。
運用上の影響を最小化し、顧客データを保護するため、Strykerはいくつかの迅速なビジネス継続性対策を実装しました:
- 従業員がすべてのネットワークからすぐに切断し、会社支給のデバイスの電源を切ったままにすることを義務付けました。
- 手動注文プロセスに移行し、電子配布システムが復元される間に追加の担当者を配置しました。
- セキュリティスキャンの頻度を高め、影響を受けていないすべてのクラウド環境全体で包括的なアクセス制御レビューを実施しました。
翻訳元: https://gbhackers.com/stryker-targeted-by-large-scale-wiper-attack/
