イランの Handala が医療テクノロジー企業 Stryker を攻撃:破壊型ワイパーで全削除

Stryker Confirms Destructive Wiper Attack – Tens of Thousands of Devices Wiped

2026/03/17 CyberSecurityNews — Stryker Corporation が 2026年03月11日に公表したのは、同社のグローバル Microsoft 環境に重大な影響を与えるサイバー攻撃に遭遇したことだ。この医療テクノロジー企業への攻撃については、イラン関連の脅威アクター Handala が犯行を主張しており、政治的な動機が背景にあるとみられている。

この攻撃は、金銭目的の侵入とは異なり、破壊型ワイパー攻撃の特徴を示している。Stryker は複数の顧客向け通知で、ランサムウェアやマルウェアの兆候はないと一貫して説明しており、恐喝ではなくデータ破壊が目的である可能性が高いとされる。

Handala は、数千台のサーバおよびエンドポイント・デバイス (Windows ラップトップやスマートフォンを含む) を消去したと主張している。それと同時に、50 TB の重要な企業データを流出させたとも主張している。

オープンソース・インテリジェンスと Arctic Wolf のセキュリティ研究者たちによると、この攻撃者は Stryker のモバイルデバイス管理基盤である Microsoft Intune を悪用し、登録済みエンドポイントに対してリモートで一括初期化または消去コマンドを実行した可能性が高い。

従業員たちは、自分のデバイスがリアルタイムで消去される様子を目撃したと報告している。一部のログイン画面は、Handala のロゴで改竄されていた。

複数国の Stryker オフィスでは避難措置が取られ、社内ネットワークからの切断と、会社支給デバイスの停止が、すべての従業員に指示された。

Handala は、表向きには親イラン系ハクティビスト集団を名乗っている。しかし Palo Alto Networks Unit 42 の分析では、同組織はイラン情報省 (MOIS) と関連しており、独立したハクティビストではなく、国家に支援される脅威アクターに分類されている。

この攻撃について Handala は、イラン ミナブの学校に対する、米軍による爆撃への報復だと主張している。イランの国営メディアは、このミナブへの爆撃で、少なくとも 168 人の子どもが死亡したと報じている。Handala は、サイバー戦争の新時代の始まりだと、今回の攻撃について表現している。

Stryker サイバー攻撃による影響

この攻撃は、Stryker における受注処理/製造/グローバル出荷業務に重大な影響を与えている。同社は 2025 年に $25.1 billion の売上を計上し、61 カ国で約 56,000 人を雇用している企業である。

Stryker は、米国 Securities and Exchange Commission へ 8-K を提出し、完全復旧の見通しが立っていないことを明らかにした。この発表の直後、株価は 3% 以上下落した。

その一方で Stryker が強調するのは、同社の医療機器は安全に使用できるという点である。以下の製品は、影響を受けていないことが確認されている。

  • LIFEPAK 除細動器
  • Mako ロボット手術システム
  • SurgiCount/Triton アプリケーション
  • Vocera Edge
  • Vocera Ease
  • care.ai プラットフォーム

なお、AWS 上の Vocera Ease や Google Cloud Platform 上の care.ai などのクラウド・サービスは、影響を受けた Microsoft 環境とはアーキテクチャ的に分離されている。

また SurgiCount は専用の分離されたクラウド環境で動作しており、Stryker の内部 Microsoft システムとは接続されていない。

すでに Stryker は、インシデント検知直後に対応計画を発動し、外部セキュリティ専門家と連携しながら米国法執行機関および政府機関と協力している。

現在は、顧客向けの受注/出荷システムの復旧を最優先としている。最新の報告によると、中核となるトランザクション・システムは回復に向けて進展しており、段階的な復旧が進んでいるという。

医療テクノロジー企業Strykerに対するサイバー攻撃は、金銭目的のランサムウェアではなく、国家を背景に持つ組織による、純粋な破壊を目的としたワイパー攻撃という、きわめて衝撃的な展開を見せています。今回の事件の最大の焦点は、攻撃者がマルウェアを配布するのではなく、Microsoft Intune (デバイス管理基盤) という正当なツールの管理者権限を乗っ取り、それを “一括破壊のスイッチ” として悪用した点にあります。イラン関連の脅威アクター Handala は、Stryker の Intune 環境に侵入し、世界 79 カ国に展開する数万台の Windows ラップトップ/スマートフォン/サーバに対して、一斉にリモートワイプ (初期化) コマンドを発行したとみられています。よろしければ、Cyber warfare での検索結果も、ご参照ください。