世界的医療技術企業Strykerは、世界中の数万台の企業デバイスのリモートワイピングをもたらした大規模で破壊的なサイバー攻撃を確認しました。これは正規のクラウド管理ツールが関わった最も破壊的なエンタープライズインシデントの1つです。
2026年3月11日に始まったこのインシデントは、Strykerの企業IT基盤に大きな影響を与え、内部Microsoftサービス、製造ワークフロー、配送業務を混乱させました。
Handalaという親イラン系のハクティビストグループが責任を主張し、この攻撃を政治的動機と位置付けています。
これらの数字は独立して検証されていませんが、運用上の混乱の規模は、高度に調整され影響力のある侵入を示唆しています。
カスタムワイパーマルウェアまたはランサムウェアペイロードに依存する従来の破壊的なサイバー攻撃とは異なり、この攻撃は正規のエンタープライズツールを悪用しました。
脅威行為者はStrykerのMicrosoft Intune環境に管理者アクセス権を取得しました。これはデバイスプロビジョニングとセキュリティ実施に広く使用されているクラウドベースのエンドポイント管理プラットフォームです。
侵入後、攻撃者はIntuneの組み込みリモートワイプ機能を悪用して、大量のWindowsエンドポイント全体にファクトリーリセットコマンドを発行しました。
これにより、悪意のあるバイナリをデプロイせずにデバイスを大規模に消去し、従来のエンドポイント検出および対応(EDR)メカニズムを効果的に回避することができました。
このような「living-off-the-land」アプローチは、エンドポイントではなくクラウド管理プレーンをターゲットとするアイデンティティベースの攻撃のリスクの増加を浮き彫りにしています。
責任を主張しているグループHandalaは、以前から政治的に動機付けられたサイバー作戦に関連付けられていました。
自分たちを独立したハクティビスト集団として提示していますが、Palo Alto Networksの研究者は、このグループがイランの情報セキュリティ省(MOIS)の指揮下で活動している可能性が高いと評価しています。
この攻撃は、アクセスベースのテクニックと信頼されたエンタープライズツールを活用して、フォレンジック痕跡を最小化しながら破壊を最大化する国家関連の作戦における広範なトレンドと一致しています。
広範なIT混乱にもかかわらず、Strykerは医療機器とヘルスケアプラットフォームが安全であり、完全に運用可能なままであることを強調しました。
同社は、重要システムが企業のMicrosoft環境から建築的に分離されていることを確認しました。
このセグメンテーションにより、患者ケア、病院ネットワーク、または医療デバイスの機能が攻撃の影響を受けることはありませんでした。
Strykerは異常なアクティビティを検出した直後にインシデント対応計画を開始しました。同社は外部のサイバーセキュリティ専門家および政府機関と密接に協力して、侵害を調査および修復しています。
攻撃は従来のマルウェアを含まなかったため、検出と封じ込めはエンドポイント修復ではなく、アイデンティティ制御とアクセス取り消しに焦点が当てられました。
業務を維持し、さらなる影響を制限するために、Strykerはいくつかの緊急措置を実施しました:
このインシデントは、脅威状況における重大な転換を強調しており、攻撃者はますます悪意のあるコードをデプロイせずに大規模な影響を達成するために一元化された管理システムをターゲットにしています。
翻訳元: https://cyberpress.org/stryker-confirms-massive-wiper-attack/