医療技術大手のStrykerは、2026年3月11日のサイバー攻撃の影響に関するアップデートを提供し、このインシデントが第1四半期の収益に重大な影響を及ぼしたことを確認しました。米国証券取引委員会(SEC)への修正提出書では、Strykerは世界的な製造ネットワーク全体で完全に稼働しており、注文および出荷機能も完全に復旧したことが確認されました。同社はPalo Alto Networksと協力して、製造、注文、出荷機能を一時的に妨害したインシデントを調査しています。調査により、攻撃者がMicrosoft Intuneの環境を悪用するために悪意あるファイル(マルウェアではない)を挿入したことが確認されました。
Strykerは、内部システムの機能障害、顧客への影響、および規制上の問題を含む、運用機能障害の範囲と期間を評価しました。第1四半期の収益への財務的影響の程度はまだ開示されておらず、2026年4月30日にリリース予定の第1四半期決算報告で説明されます。Strykerは、この攻撃が通年の収益に重大な影響を与えることは予想していません。
2026年4月3日:Strykerが3月のサイバー攻撃後に完全に稼働を再開
Strykerは、3月11日のサイバー攻撃の影響を受けたシステムを復旧し、製造ネットワーク全体で再び完全に稼働していることを発表しました。商用、注文、配流システムが復旧したため、同社はピーク生産能力に向けて迅速に進展しています。Strykerは、第三者のサイバーセキュリティ専門家、政府機関、および業界パートナーとの協力を継続してサイバー攻撃を調査しており、全体的な製品供給は良好で、ほとんどの製品ラインにおいて在庫が十分にあり、顧客需要に対応し患者ケアをサポートし続けています。
イランとつながったハッキング集団Handalaが攻撃の責任を主張し、その攻撃は約80,000台のWindowsデバイスを消去することにかかわっていました。同集団は50テラバイトのデータを盗み、盗難データをリークしましたが、データをリークするために使用された2つのドメインは連邦捜査局(FBI)によって差し押さえられました。ハッカーはWindowsドメイン管理者アカウントを侵害し、それを使用して新しいグローバル管理者アカウントをセットアップし、InTuneを使用してデバイスをリモートで消去しました。攻撃の後、マイクロソフトはWindows ドメインのセキュリティ強化とIntune保護に関する顧客向けガイダンスをリリースしました。
この攻撃は事業運営に一時的なグローバルな混乱を引き起こしました。しかし、このサイバー攻撃は製品またはデバイスのセキュリティおよび安全性に影響しませんでした。この攻撃は供給ラインの一部に混乱を引き起こし、Strykerが患者固有製品を提供する能力の混乱のため、一部の医療システムが外科手術をいくつか遅延しなければならないという波及効果がありました。
Strykerは脅威ハンティング、フォレンジック分析、遮断、根絶、およびインフラストラクチャレビューを支援するためにPalo Alto Networksと契約しました。Palo Alto Networksは、2026年3月11日以降、不正なアクティビティの証拠が見つからなかったことを確認し、Strykerの運用環境への直接的なリスクが軽減されたと述べました。マルウェアまたはランサムウェアが攻撃で使用されたことを示す証拠は見つかりませんでした。ハッキング集団は、コマンドを実行するための悪意あるファイルを使用し、それが脅威検出ソリューションからのアクティビティを隠すことを可能にしました。Strykerは、悪意あるファイルが環境内または外部に広がる能力を持たなかったことを確認しました。
Strykerは現在、機密従業員データの盗難に関する法的措置に直面しています。同社が個人データを保護しなかったと主張する従業員による少なくとも6件の訴訟がすでに提起されています。
2026年3月12日:イラン関連ハッキング集団がU.S.医療機器メーカーのデータを消去
ミシガン州ポーテージに本拠地を置くU.S.医療機器および医療機器メーカーであるStrykerは、現在のU.S.対イラン軍事行動に関連するサイバー攻撃に対処しています。サイバー攻撃は真夜中直後に開始され、組織全体のシステム停止を引き起こしました。イランとつながったハッキング集団が攻撃の責任を主張しています。
Strykerは61ヶ国で事業を展開し、56,000人以上の従業員からなるグローバルな労働力を有しています。Strykerは米国証券取引委員会(SEC)への提出書で、この攻撃が「会社の特定の情報システムおよびビジネスアプリケーションへの混乱およびアクセスの制限」を引き起こし、引き続き起こすことが予想されると述べました。Strykerは現在、システムとデータがいつ復旧されるか、および通常の運用がいつ再開されるかのタイムラインを提供することができません。
これはランサムウェア攻撃ではなく、むしろデータ盗難および消去攻撃のようです。この攻撃はStrykerのMicrosoft プログラム(携帯電話やラップトップなどのWindowsベースデバイスの消去を含む)に影響しました。Strykerは、ランサムウェアまたはマルウェアが使用されたことを示唆する兆候を見つけていないと述べ、攻撃を遮断したと信じていると述べました。コンピュータシステムへの攻撃の影響を判断するための調査が開始されました。
Wall Street Journalによると、Strykerのログインページは、ハッキング集団のロゴで改ざんされました。Strykerは事業継続対策を実施しており、攻撃からの復旧中も顧客とパートナーをサポートし続けると述べています。Strykerはまた透明性を約束し、調査と復旧プロセスが進むにつれてステークホルダーに情報を提供し続けると述べています。
Handalaと呼ばれるイランとつながったハッキング集団は、Xでの発表で直ちに攻撃の責任を主張しました。同集団は、その攻撃が世界中の79のStrykerオフィスで混乱を引き起こし、200,000以上のシステム、サーバー、およびモバイルデバイスが消去されることにかかわり、50テラバイトのデータが攻撃で搾取されたと主張しました。「Minab学校への野蛮な攻撃への報復として、また抵抗軸のインフラストラクチャに対する継続的なサイバー攻撃への対応として、当社の主要なサイバー作戦が完全な成功で実行されたことを世界に発表します。」同集団はXへの投稿で述べました。
初期アクセスベクトルは不明な間、セキュリティリサーチャーのKevin Beaumontは、HandalaアクターがStrykerの Active Directoryサービスへのアクセスを取得し、Microsoftエンドポイント管理ツールのIntune を使用してMicrosoftデバイス(bring-your-own-deviceポリシーの下で管理される従業員が使用するデバイスを含む)をリモートで消去したと示唆しています。
Handalaは一見表面上ハッカーティビスト集団であるように見える間、同集団はイランの情報セキュリティ省に関連付けられています。Palo Alto Networksは、Handalaが情報セキュリティ省の一部であり、ハッカーティビスト集団として偽装し、イランがサイバー作戦の責任を否定することを可能にしていると示唆しています。
イランがU.S.-イスラエル軍事行動に軍事的対応を実行している一方で、攻撃への報復はミサイルだけを含むことが可能性がありました。イランは高度なサイバー能力を有しており、すべての対応はサイバースペースで行われる可能性がありました。イラン当局は今週、テヘランは米国またはイスラエルに結びついた経済センターと銀行を含むようにターゲティングを拡大すること、およびU.S.軍またはイスラエルに結びついたU.S.企業も攻撃されることを述べました。Strykerはイスラエルでの存在を持っており、同社が2019年に買収した整形外科デバイスメーカーOrthoSpaceを含みます。Handalaはそれを主張しましたStrykerは「シオニスト由来の企業」でした。
「残念ながら、このような攻撃は驚くべきことではありません。最新の地政学的緊張の前でさえ、ヘルスケアおよび他の重要なインフラストラクチャを対象としたハッカーティビスト活動は着実に増加していました。そしてその傾向により、医療機器メーカーおよび病院のような組織が交差砲火に巻き込まれる可能性が高くなります。多くの場合、攻撃者は単に最小抵抗のパスを見つけます。露出されたシステム、セキュリティで保護されていない管理コンソール、または環境内でより深く移動することを可能にする認証情報です。一度管理者アクセス権を取得すると、事実上、モバイルデバイスから運用システムまですべてを妨害できる王国の鍵を持ります。」The HIPAA Journalに提供されたステートメントで、Claroty の Field CTO および CISO、Skip Sorrelsが述べました。「元ICUナースとして、私は技術停止でさえ、ケア提供がどのように波及するかをひと目で見ました。これが、ヘルスケアのサイバーセキュリティが患者安全の一部として扱われなければならない理由です。組織は、サイバー物理システムへの可視性を優先し、攻撃者がそれらを見つける前にそれらの「開かれたドア」を閉じることです。」
The HIPAA JournalのExabeamのVice President of AI Strategy & Security ResearchであるSteve Povolnyは、この攻撃は地域的な紛争または政治的緊張の期間中に、サイバー作戦がますます非対称的対応の選択肢になっていることを示していること、および代理グループからのサイバー活動がテヘランに西側経済とテクノロジーエコシステムに費用を課す否定可能な方法を提供していると述べました。
「Handalaのようなグループはハッカーティビズムと国家作戦の線をぼかし、政府に表面的な否認可能性を与えながらも戦略的信号を実現しています。ディフェンダーのための警告的教訓は、これらのキャンペーンはめったに孤立したイベントではないということです。」Povolnyは述べました。「それらはしばしば、ヘルスケアと物流からエネルギーと製造まで、国家の安定性をサポートする複数の業界全体で混乱を作り出すように設計された、より広い圧力戦略の一部です。従来、地政学的ターゲットと見なされない組織は、状態にリンクされたサイバー紛争の最前線に自分自身を見つけることがますます増えているかもしれません。」
2026年3月15日の更新で、Strykerは攻撃が遮断されたと信じていると述べました。Strykerは、その攻撃が注文処理、製造、および出荷に影響したが、患者関連のサービスまたは接続された医療製品は影響を受けなかったことを確認しました。同社は、顧客、注文、および出荷を直接サポートするシステムの復旧を優先しています。サイバー攻撃への調査は進行中です。Strykerは第三者のサイバーセキュリティ専門家と協力しており、ホワイトハウス国家サイバーディレクター、FBI、CISA、DHA、HHS、およびH-ISACを含む適切な当局と調整しています。Strykerはランサムウェアが攻撃で使用されず、マルウェアがシステムに展開されなかったことを確認しました。
翻訳元: https://www.hipaajournal.com/stryker-cyberattack-iran/
