医療機器大手が「数万台の端末を一瞬で消去」された日

「マルウェアもランサムウェアも使わなかった」——それでも、数万台の端末が一瞬で消えた。

何が起きたのか：「管理ツール」が凶器に変わった日

2026年3月11日、医療機器大手のStrykerは「グローバルなネットワーク障害が発生している」と公式に認めた。しかし被害の実態は、単なるシステム障害をはるかに超えていた。

親イラン系ハクティビスト集団Handalaは、Strykerの内部ネットワークに侵入した後、従業員デバイス管理システム「Microsoft Intune」のダッシュボードに不正アクセス。そこから数万台に及ぶスマートフォン、タブレット、PCのデータを遠隔で一括削除した。個人の端末も含め、ネットワークに接続されていたすべてのデバイスが標的となった。

攻撃の特徴は「静かさ」にある。従来型のランサムウェア攻撃であれば、暗号化の過程でシステムに異常な負荷がかかり、検知される可能性がある。しかし今回のケースでは、正規の管理ツールが「正規の操作」として大量削除を実行した。セキュリティシステムから見れば、これは「攻撃」ではなく「管理者による通常業務」に映る。

現在もStrykerのサプライチェーン、受発注、出荷システムはオフラインのままだ。医療機器そのものは稼働を続けているが、復旧の見通しは示されていない。

なぜ今、CISAが動いたのか

米国土安全保障省傘下のサイバーセキュリティ機関CISAは、この事件を受けて緊急ガイダンスを発表した。その中核となる勧告は、一見シンプルだ。

「デバイスの一括削除など高リスクな操作には、必ず第二の管理者による承認を要求せよ」

広告

広告掲載について

[email protected]

広告

これは技術的には「4-eyes principle（二人原則）」と呼ばれる考え方で、金融機関では長年採用されてきた概念だ。しかしMicrosoft IntuneをはじめとするモダンなMDM（モバイルデバイス管理）ツールでは、デフォルト設定でこの承認フローが有効になっていないケースが多い。利便性を優先した設計が、セキュリティの盲点を生んでいた。

Handalaはこの攻撃について、「イランの学校への空爆で数十人の子どもが犠牲になったことへの報復」と主張している。同グループのウェブサイトは3月18日にFBIによって押収された。また、大量のデータを窃取したとも主張しているが、その証拠は現時点で提示されていない。

日本企業への問い：「便利なツール」の裏側を見ているか

この事件が日本のIT担当者に突きつける問いは、技術論を超えている。

日本企業、特に製造業や医療関連企業では、コロナ禍以降のリモートワーク普及に伴い、Microsoft Intuneや類似のMDMツールの導入が急速に進んだ。ソニー、トヨタ、大手病院グループ——規模の大小を問わず、数千台から数万台の端末を一元管理するシステムが当たり前になっている。

しかし「管理の集中化」はリスクの集中化でもある。単一の管理者アカウントが侵害されれば、組織全体のデバイスが人質になりかねない。Strykerのケースは、その最悪のシナリオが現実に起きることを証明した。

日本固有の課題もある。多くの日本企業では、IT管理者が少人数で膨大な端末を管理している。「二人原則」を実装しようとしても、そもそも承認できる第二の管理者がいない、というケースも珍しくない。人手不足とセキュリティ強化のトレードオフは、日本の組織にとって特に深刻だ。

さらに、医療機器や製造ラインに関わる企業であれば、端末の大量消去は単なるデータ損失にとどまらない。サプライチェーンの停止は、患者への医療提供や製品の出荷に直接影響する。Strykerの受発注・出荷システムが今もオフラインであることが、その現実を示している。

「ゼロトラスト」の時代に、まだ「信頼」に頼っていないか

セキュリティ業界では「ゼロトラスト」という概念が広まって久しい。「内部ネットワークだから安全」という前提を捨て、すべてのアクセスを検証するという考え方だ。しかしStrykerの事件は、ゼロトラストの議論が「ネットワークへのアクセス」に集中しがちで、「管理ツールそのもの」への信頼を見落としていたことを示唆している。

正規の管理者権限を持つアカウントが、正規のツールを使って、正規の操作を行う——この「三重の正規性」を持つ攻撃を、従来のセキュリティ監視はどう検知するのか。これはStrykerだけの問題ではなく、MDMツールを導入しているすべての組織が直面する問いだ。