Stryker事件で何が起きたのか

Stryker Corporation(NYSE: SYK)は年間売上250億ドル、従業員約5万6千人の医療機器メーカーです。2026年3月11日の早朝、同社のMicrosoft環境が壊滅的な攻撃を受けました。

攻撃者はMicrosoft Entra ID(旧Azure AD)のグローバル管理者アカウントを掌握し、デバイス管理プラットフォームMicrosoft Intuneの管理コンソールにアクセス。そこから全社のデバイスに対してリモートワイプ(工場出荷時リセット)コマンドを実行しました。

影響は79か国に及び、20万台以上のデバイスがワイプされたとHandalaは主張しています。Strykerは具体的な数を公表していませんが、SEC(米証券取引委員会)への届出で『Microsoft環境へのグローバルなネットワーク障害』を確認しています。

マルウェアは使われなかった

この攻撃で最も衝撃的なのは、マルウェアが一切検出されていないことです。ランサムウェアでもなく、ワイパーマルウェアでもない。Stryker自身がデバイス管理のために導入していたMicrosoft Intuneの正規機能を使って、全社のデバイスを消去したのです。

管理画面が乗っ取られれば、攻撃者はマルウェアを書く必要すらない。正規の管理機能がそのまま武器になる。

さらに深刻だったのはBYOD(個人端末の業務利用)の問題です。従業員が業務用にIntuneに登録していた個人スマートフォンも工場出荷時にリセットされ、個人の写真、eSIM(電話回線ごと喪失)、銀行アプリの二段階認証まで消えました。

どうやって管理画面に侵入したのか

初期アクセスの正確な経路は調査中ですが、複数のセキュリティ企業の分析から以下の可能性が指摘されています。

  • インフォスティーラー(情報窃取マルウェア)で盗まれた認証情報の悪用。2025年10月〜2026年3月の間にstryker.comドメインに紐づく278件の漏えい認証情報が確認されている
  • AiTM(中間者)フィッシングによるMFA(多要素認証)バイパス。標準的なMFAはこの手法に対して防御できない
  • 2024年に発生した別の侵害からの持続的アクセス(未確認)

Check Point Researchは、Handalaが攻撃の数ヶ月前からVPNインフラに対する偵察活動を行っていたことを確認しています。これは計画的かつ長期的な作戦でした。

なぜこれがサイト診断の話になるのか

Stryker事件は大企業の話ですが、『管理画面が乗っ取られたら全てが終わる』という構造はあらゆる規模のWebサイトに共通します。

  • CMSの管理画面(WordPress /wp-admin 等)が推測可能なURLで公開されている
  • 管理画面にMFAが設定されていない
  • 管理者アカウントにデフォルトのユーザー名(admin等)が使われている
  • テスト環境や開発環境の管理画面が認証なしで公開されている
  • 管理画面へのアクセスがIP制限されていない
  • セキュリティヘッダーが未設定でクリックジャッキング経由のセッション窃取リスクがある

攻撃者はShodanやGoogleドーク等で、管理画面が公開されているサイトを日常的にスキャンしています。Strykerでは管理ツールそのものが武器になりましたが、Webサイトでも管理画面の露出は同じ種類のリスクです。

管理画面を守るための基本チェック

  • 管理画面URLを変更またはIP制限で保護する
  • 管理者アカウントにフィッシング耐性のあるMFA(FIDO2等)を導入する
  • 破壊的操作(全削除・全リセット等)には複数人の承認を必須にする
  • 管理者の認証情報がインフォスティーラーで漏れていないか定期的に確認する
  • セキュリティヘッダー(CSP、X-Frame-Options等)を正しく設定する
  • SSL/TLS設定を最新の推奨構成に更新する

まず確認すべきこと

管理画面が外部から見えていないか、セキュリティヘッダーは設定されているか、SSL設定は最新か。この3点だけでも確認する価値があります。Stryker事件が証明したのは、管理ツールは守る側にも攻撃者にも最も強力な武器になるということです。

Web検診では、セキュリティヘッダー、SSL/TLS設定、公開情報の露出を含む無料のサイト診断を提供しています。

出典

Krebs on Security: https://krebsonsecurity.com/2026/03/iran-backed-hackers-claim-wiper-attack-on-medtech-firm-stryker/

Cybersecurity Dive: https://www.cybersecuritydive.com/news/stryker-attack-device-management-microsoft-iran/814816/

HIPAA Journal: https://www.hipaajournal.com/stryker-cyberattack-iran/

Specops Software: https://specopssoft.com/blog/stryker-cyber-attack-what-we-know-remote-wipe/