當「管理工具」變成武器：數萬台設備在幾分鐘內消失

不需要病毒，不需要勒索軟體——只需要一個管理員帳號，數萬台設備就能在瞬間歸零。

事件經過：一場「沒有惡意程式」的攻擊

2026年3月11日，全球醫療設備巨頭Stryker公開承認遭到駭客入侵，並宣稱正面臨「全球性網路中斷」。然而，這場攻擊的破壞方式出乎所有人意料。

親伊朗駭客組織Handala入侵Stryker內部網路後，並未部署任何惡意程式或勒索軟體。他們做的，是直接登入Stryker用來管理員工設備的Microsoft Intune後台，透過這套合法的企業設備管理工具，遠端批次刪除了數萬台員工的手機、平板與電腦上的所有資料——包括連接公司網路的個人設備。

這種攻擊手法的可怕之處在於：從系統日誌的角度看，這不是「攻擊」，而是一次「正常的管理操作」。

截至目前，Stryker的供應鏈、訂單與出貨系統仍處於離線狀態。醫療設備本身雖維持運作，但公司尚未提出任何復原時間表。

CISA為何在此時發出警告

美國網路安全暨基礎設施安全局（CISA）在事件曝光後迅速發布緊急指引，核心建議只有一條：

「針對高風險操作（如批次刪除設備），必須強制要求第二位管理員的審核批准。」

廣告

廣告合作

[email protected]

廣告

這個概念在金融業早已行之有年，稱為「雙人原則」（Four-Eyes Principle）。問題在於，包括Microsoft Intune在內的現代企業設備管理平台，預設設定往往不啟用這道審核機制——為了操作便利，省略了最關鍵的那道門。

Handala聲稱此次攻擊是對「美國空襲伊朗學校、造成數十名兒童死亡」的報復行動，並宣稱竊取了大量Stryker內部資料，但迄今未提供任何佐證。3月18日，FBI查封了Handala的網站。

這對亞洲企業意味著什麼

這起事件的影響範圍遠超美國。在台灣、香港及東南亞，大量跨國企業與本地龍頭都在使用Microsoft Intune或類似的MDM（行動裝置管理）平台統一管理員工設備。從科技業到製造業，從醫療院所到金融機構，集中式設備管理已是現代企業的標配。

然而，「管理的集中化」同時也是「風險的集中化」。一旦擁有管理員權限的帳號遭到入侵，整個組織的設備就可能成為攻擊者手中的棋子。Stryker的案例證明，這不是理論上的威脅。

值得關注的是，這類攻擊對醫療、製造、物流等實體產業的衝擊尤為嚴峻。設備大量消失不只是資料損失問題，更直接衝擊供應鏈運作。Stryker的訂單與出貨系統至今仍無法恢復，正是這個現實的縮影。

從地緣政治角度觀察，Handala此次以「報復美國政策」為由發動攻擊，但受害的是一家醫療設備公司及其全球供應鏈。這種「以企業為代理目標」的攻擊模式，在當前地緣政治緊張的背景下，對在多個地區運營的亞洲企業而言，是一個不容忽視的警訊。

「零信任」的盲點：我們信任了不該信任的東西

近年來「零信任架構」（Zero Trust）在資安圈廣受推崇，核心思想是「永不信任，持續驗證」。然而Stryker事件揭示了一個微妙的盲點：零信任的討論多聚焦於「誰能進入網路」，卻往往忽略了「進入之後能做什麼」。

當攻擊者使用合法帳號、透過合法工具、執行合法操作時，傳統的安全監控機制幾乎無從識別。這不是Microsoft Intune的問題，而是整個企業資安設計哲學的問題：我們在保護「入口」的同時，是否也在審視「操作本身」？