8万台が消えたStryker攻撃に学ぶMDM管理の落とし穴Intune管理者アカウント侵害で起きた壊滅的被害と今すぐ取るべき対策

MDM管理者アカウントの侵害がもたらす壊滅的リスク

2026年3月、グローバル医療機器企業Strykerが大規模なサイバー攻撃を受け、約8万台のデバイスが一瞬にしてリモートワイプされました。攻撃者はMicrosoft Intuneの管理者アカウントを侵害し、正規の管理機能を悪用したのです。本記事では、この事例から学ぶべきMDM（モバイルデバイス管理）のセキュリティリスクと、御社が今すぐ実施すべき具体的な対策を解説します。MDMは業務効率化に欠かせないツールですが、管理者アカウントが侵害されれば、それ自体が最大の脅威となります。

Stryker攻撃の全容と被害規模

CyberNewsCenterの報道によると、医療機器大手Strykerへの攻撃は2026年3月20日に公表されました。攻撃者は同社が利用していたMicrosoft Intuneの管理者アカウントを侵害し、管理下にあった約8万台のデバイスに対してリモートワイプコマンドを実行しました。さらに、最大50TBに及ぶデータが窃取された可能性も報告されています。

この攻撃について、親イラン系のハクティビストグループ「Handala」が犯行声明を出しています。地政学的な緊張を背景としたサイバー攻撃が、医療セクターにまで拡大している現実を示す事例といえます。

注目すべきは、この攻撃パターンが初めてではないという点です。2026年3月14日には、同様の手法でStarbucksも攻撃を受けています。正規のデバイス管理ツールを悪用した破壊的攻撃は、2026年における主要なサイバー脅威として確立しつつあります。

なぜMDM管理者アカウントが狙われるのか

MDMは、PCやスマートフォンなどの業務用デバイスを一元管理するためのツールです。Microsoft IntuneやVMware Workspace ONE、Jamfなど、多くの企業がこうしたツールを導入しています。しかし、その便利さの裏には大きなリスクが潜んでいます。

MDM管理者アカウントは、数千から数万台のデバイスに対して強力な権限を持っています。ソフトウェアの配布、設定変更、そしてリモートワイプまで、あらゆる操作が可能です。これは本来、紛失や盗難時のセキュリティ対策として設計された機能ですが、攻撃者の手に渡れば壊滅的な武器となります。

経済産業省が公表した「サイバーセキュリティ経営ガイドライン」においても、特権アカウントの管理は重要な対策項目として挙げられています。管理者アカウントは「鍵の束」のようなものであり、その鍵を奪われれば、すべてのドアが開いてしまうのです。

従来のサイバー攻撃では、マルウェアの配布やランサムウェアによる暗号化が主な手法でした。しかし、MDMを悪用した攻撃は、正規のツールを使うため検知が難しく、一度実行されれば瞬時に大規模な被害が発生します。Strykerの事例では、8万台のデバイスが同時にワイプされたことで、業務継続に甚大な影響が出たと推測されます。

医療機器企業への攻撃が持つ特殊なリスク

Strykerが医療機器企業であることは、この攻撃をさらに深刻なものにしています。医療機器は患者の生命に直接関わる製品であり、製造や品質管理のデータが失われれば、患者の安全にまで影響が及ぶ可能性があります。

IPA（情報処理推進機構）の「情報セキュリティ10大脅威 2026」においても、サプライチェーンを狙った攻撃は組織向け脅威の上位に位置づけられています。医療機器のサプライチェーンが攻撃を受ければ、製品の供給停止や品質問題につながりかねません。

また、医療分野は規制が厳しく、FDA（米国食品医薬品局）や各国の規制当局に対する報告義務もあります。サイバー攻撃による情報漏洩や業務停止は、規制対応の面でも大きな負担となります。

こうしたリスクは医療機器企業に限った話ではありません。製造業、金融業、小売業など、あらゆる業種において、MDMの管理者アカウントが侵害されれば同様の被害が発生しうるのです。

攻撃者はどのように管理者アカウントを侵害するのか

MDM管理者アカウントを狙った攻撃には、いくつかの典型的な手法があります。

最も一般的なのはフィッシング攻撃です。攻撃者はIT管理者やシステム担当者を標的として、偽のログインページに誘導し、認証情報を窃取します。特に、MicrosoftやGoogleを装ったフィッシングメールは巧妙化しており、見分けることが困難になっています。

次に挙げられるのが、パスワードスプレー攻撃です。これは、よく使われるパスワードを複数のアカウントに対して試行する手法で、「Password123」や「Company2026」のような単純なパスワードを使用している場合に成功しやすい攻撃です。

さらに、セッションハイジャックも脅威となります。管理者がログイン中のセッショントークンを窃取することで、パスワードを知らなくても管理画面にアクセスできてしまいます。

これらの攻撃を防ぐためには、多要素認証（MFA）の導入が不可欠ですが、MFAだけでは万全とはいえません。MFAを突破する「MFA疲れ攻撃」や、リアルタイムでワンタイムパスワードを中継する「中間者攻撃」も報告されており、複合的な対策が求められます。

御社が今すぐ実施すべき5つの対策

Strykerの事例を他山の石とし、御社のMDM環境を見直すことが急務です。以下の5つの対策を優先的に実施してください。

第一に、MFA（多要素認証）と条件付きアクセスの導入を徹底することです。MDM管理者アカウントには必ずMFAを設定し、可能であればFIDO2セキュリティキーなどのフィッシング耐性のある認証方式を採用してください。また、管理画面へのアクセスを特定のIPアドレスや端末に限定する条件付きアクセスも効果的です。

第二に、管理者権限の最小化と分離を実施することです。すべての管理者に最高権限を与えるのではなく、業務に必要な最小限の権限のみを付与します。デバイスワイプのような破壊的操作については、別のアカウントでの承認を必要とするワークフローを構築することも検討すべきです。

第三に、特権アクセス管理（PAM）ツールの導入です。管理者アカウントの認証情報を一元管理し、利用時には承認フローを経る仕組みを構築します。これにより、仮に認証情報が漏洩しても、不正利用を防止できます。

第四に、MDM管理コンソールの監視強化です。通常とは異なる時間帯のログイン、大量のデバイスに対する一括操作、海外からのアクセスなど、異常な行動をリアルタイムで検知する仕組みを導入します。SIEM（セキュリティ情報イベント管理）との連携も有効です。

第五に、オフラインバックアップの確保と復旧計画の整備です。仮にデバイスがワイプされても、業務を継続できるよう、重要データのオフラインバックアップを定期的に取得しておくことが重要です。また、大規模インシデント発生時の復旧手順を文書化し、定期的に訓練を行うことで、被害を最小限に抑えることができます。

2026年以降のサイバー脅威トレンド

Stryker攻撃とStarbucks攻撃に共通するのは、「正規ツールの悪用」という点です。従来のマルウェアを使った攻撃は、エンドポイント保護ソフトウェアで検知できる可能性がありましたが、正規の管理ツールを使った攻撃は検知が困難です。

この傾向は今後も続くと予想されます。攻撃者は、防御側が信頼しているツールやシステムを標的とすることで、検知をすり抜けようとしています。MDMだけでなく、リモートデスクトップツール、クラウド管理コンソール、CI/CDパイプラインなど、管理権限を持つあらゆるシステムが標的となりえます。

経営層においては、サイバーセキュリティを単なるIT部門の課題ではなく、経営リスクとして認識することが求められます。8万台のデバイスが失われた場合の事業継続への影響、顧客への影響、そして復旧コストを試算し、適切な投資判断を行う必要があります。

GXOが提供するセキュリティ支援

MDM管理者アカウントの保護から、インシデント発生時の対応まで、サイバーセキュリティ対策には専門的な知識と経験が必要です。GXOでは、180社以上の支援実績を持つセキュリティ専門チームが、御社の課題に応じた具体的な解決策を提案します。

当社のセキュリティ事業では、SIEM/SOARの導入支援からSOC（セキュリティオペレーションセンター）運用、インシデント対応まで、一気通貫でサポートしています。福岡本社とベトナム開発拠点を活用し、コストを抑えながらも高品質なセキュリティ体制の構築を支援します。

「自社のMDM環境は大丈夫だろうか」「特権アカウント管理をどこから始めればよいかわからない」といったお悩みがあれば、まずは現状診断から始めることをお勧めします。

まとめ

Strykerへのサイバー攻撃は、MDM管理者アカウントの侵害がいかに壊滅的な結果をもたらすかを明確に示しました。約8万台のデバイスが瞬時にワイプされ、50TBものデータが窃取された可能性があるという事実は、すべての企業にとって教訓となるべきです。

正規の管理ツールを悪用した攻撃は、2026年の主要な脅威として認識すべきです。御社においても、MFAの徹底、管理者権限の最小化、PAMの導入、監視強化、バックアップ体制の整備を早急に進めることを強くお勧めします。

セキュリティ対策の強化や、自社環境のリスク診断については、GXOまでお気軽にご相談ください。

お問い合わせはこちら