概要
2026年3月、米国の医療機器大手Stryker(年商約250億ドル、従業員5万6,000人)がイラン系ハクティビストグループHandala(別名:Handala Hack Team)によるサイバー攻撃を受けた。Handalaは攻撃の実行を主張しており、20万台以上のシステム・サーバー・モバイルデバイスからデータを消去したとしている。攻撃が表面化した2026年3月11日以降、受注処理・製造・出荷に支障が生じ、アイルランドの拠点では5,000人以上の従業員が自宅待機を余儀なくされた。Strykerの医療サービスに依存している複数の病院も影響を受け、心臓発作患者の心電図データを病院に転送するための救急通信システム「LifeNet」との接続が切断されるなど、患者ケアへの直接的な影響も発生した。
攻撃手法と技術的詳細
最有力な攻撃シナリオとして、クラウドベースのデバイス管理サービスMicrosoft Intuneを不正に掌握し、リモートワイプコマンドを大量展開したと見られている。Stryker独自の調査では、ランサムウェアやワイパーマルウェアの痕跡は検出されなかったが、攻撃者が独自に展開した悪意あるファイルが1件発見されており、既存のソフトウェアだけに頼らないカスタムツールの利用が示唆された。セキュリティ研究者は、Handalaが高度な攻撃技術を持つグループではなく、情報窃取マルウェア(infostealer)のログから入手した認証情報を侵入経路として利用した可能性が高いと指摘している。流出していた認証情報の多くは数カ月〜数年前のものであり、Stryker側がリセットによって侵害を防ぐ時間的猶予は十分あったとも述べられている。なお、Microsoft Outlookをスマートフォンにインストールしていた従業員の個人端末も消去被害を受けたとされる。
攻撃の背景と動機
Handalaは米国政府によってイランの**情報保安省(MOIS)**と関連するグループ「Void Manticore」の一部として公式に認定されており、司法省(DOJ)がその関係を確認した。攻撃の動機として、Handalaは2026年2月28日に行われた米国によるイランの学校へのミサイル攻撃(子どもを中心に少なくとも175人が死亡)への報復と主張している。またStrykerを「シオニスト系企業」と呼んでいることから、同社が2019年にイスラエル企業OrthoSpaceを買収した事実も背景の一つとして挙げられている。Palo Alto Networksの評価によれば、Handalaの活動は「日和見的で粗雑」であり、イスラエル関連の標的を特に狙う傾向がある。
政府の対応と今後の展望
米国のFBIとCISAはStryker幹部と直接接触し、調査に関与している。また、米国政府はHandalaが使用していた複数のウェブサイトを閉鎖するとともに、FBIがMOIS系脅威アクターの攻撃手法に関するアラートを発出した。今後もイラン・イスラエル・米国間の地政学的対立が続く中、医療インフラを含む重要インフラへのサイバー攻撃リスクは高まると見られており、Intune等のクラウド管理基盤の不正利用を防ぐための認証情報管理と多要素認証の徹底が改めて重要視されている。