イランのサイバー部隊がStrykerを壊滅させた手口と、FBIが学んだ教訓

医療機器メーカーStrykerが3月に受けたサイバー攻撃。「ハクティビスト」を装ったイラン国家の関与が、米司法省によって正式に確認された。

情報の灯台

2026年4月2日

医療機器メーカーStrykerが3月に受けたサイバー攻撃。「ハクティビスト」を装ったイラン国家の関与が、米司法省によって正式に確認された。

「建物で緊急事態が発生しています」

2026年3月11日の朝、ミシガン州ポーテージにあるStryker本社の代表電話は、こんな録音メッセージを流し続けていた。電話口で事情を知らせるオペレーターはいない。世界79カ国の従業員が出勤し、ログイン画面を開くと、素足の少年がスリングショットを持った見慣れないロゴが表示され、直後に端末が沈黙した。

攻撃グループ「Handala」による、対米初の本格的な破壊型サイバー作戦だった。

Strykerは整形外科用インプラントから手術ロボットまでを手がける医療テクノロジー大手だ。2025年の売上は250億ドル超（約3兆9500億円）、150万人以上の患者の治療に関わる製品を世界61カ国に供給している。米国内でほぼすべての病院が手術用製品を同社に依存しており、あるサイバーセキュリティ専門家はこれを「リアルワールドのサプライチェーン攻撃」と評した。

「Strykerの製品を使わない手術室はほとんどない」――ある米国大学病院の医療従事者（KrebsOnSecurityへの匿名コメント）

攻撃直後、メリーランド州内の複数の病院が、患者データや生命維持モニタリングに使うシステムとの接続を自主的に遮断した。供給不能・病院の機能停止、という最悪シナリオは表面化しなかったが、その一歩手前まで迫っていた。

「ハクティビスト」という仮面

Handalaは2023年末に表舞台に現れた。名前の由来はパレスチナの漫画家ナジ・アル・アリが1969年に描いた「素足の少年」で、抵抗の象徴として知られる。グループはパレスチナ支持を訴える「ハクティビスト集団」として活動してきたが、セキュリティ研究者たちは正体はイラン国家だと疑い続けていた。

3月中旬、米司法省が4つのドメインを差し押さえたことで、疑念は確信に変わった。

差し押さえられたドメイン：Handala-Hack[.]to、Handala-Redwanted[.]to、Justicehomeland[.]org、Karmabelow80[.]org。司法省はこれらを「イラン情報省（MOIS）が運用した心理作戦インフラ」と断定した。

司法省の発表でHandalaはイランの情報省直属の部隊「Void Manticore」の公開用ペルソナであることが公式に確認された。ただのハッカー集団ではない。サイバーセキュリティ各社がBanished Kitten、Storm-0842、Red Sandstormなどの複数コードネームで長年追跡してきた国家アクターだ。

チェック・ポイント・リサーチによれば、Handalaの実質的な指揮官はイラン情報省のセイエド・ヤヒア・ホセイニ・パンジャキ副大臣。同氏は2024年に米財務省の制裁対象となっており、2026年3月上旬にイスラエルによる攻撃で死亡したとも報じられている。指導部への打撃がある一方、組織はいまも動き続けている。

どうやって「管理ツール」を凶器に変えたか

今回の攻撃で技術面から特筆すべきは、手口の「地味さ」だ。ゼロデイ脆弱性でも高度なマルウェアでもない。企業が日常的に使うエンドポイント管理ツール「Microsoft Intune」を乗っ取り、そのリモートワイプ機能で端末を一括消去した。

では、なぜ管理者権限を奪えたのか。Specops（Outpost24）の調査では、2025年10月から2026年3月の間に278件のstryker.comドメイン関連の認証情報が情報窃取型マルウェアにより盗まれ、そのうち138件は2026年になってから流出したことが確認されている。フィッシングや認証情報の使い回しで内部に侵入し、Global Administrator権限を手に入れたと見られている。

Strykerは3月下旬の発表で、攻撃者が端末内に「悪意あるファイル」を仕込み、行動を隠蔽しながら操作していたと認めた。なお攻撃者の主張する「20万台以上の端末ワイプ」「50テラバイトのデータ窃取」といった数字は未検証であり、誇大な可能性が高い。確認されているのは約8万台の端末消去と、受注処理・製造・出荷業務の広範な停止だ。

攻撃を受けてから約3週間後の4月1日、Strykerは製造ネットワークが「完全復旧」したと発表した。現時点でサプライヤーや顧客の外部環境への波及は確認されていない。

FBIが踏み込んだ「もぐらたたき」の現実

3月19日のドメイン差し押さえに際し、FBI長官のカシュ・パテルは「この組織を徹底的に追い詰める」と声明を出した。だが翌日には新しいドメインが立ち上がり、HandalaはTelegramで「われわれの声を封じようとする絶望的な試みだ」と反論した。

差し押さえの効果について、セキュリティ専門家たちの評価は限定的だ。Foundation for Defense of Democraciesのアリ・ベン・アム氏は「ドメイン自体の価値は最小限だ」と指摘し、元FBIサイバー部門のマイケル・バティス弁護士は「破壊的な攻撃能力を止めることにも、新しいサイトを作る能力を奪うことにも、ほとんど貢献しない」と述べた。Handalaはすでに数十のTelegramチャンネルを運用し、そのうち40が過去に凍結されても組織は継続してきた歴史がある。

インフラとしてのHandalaは「メディアフランチャイズ」に近い。ドメインは使い捨て、Telegramで拡散し、複数のアクター間でブランドが共有される。一点突破の差し押さえで止まるような構造ではない。

攻撃が問いかけるもの

元記事が指摘しているとおり、今回の事件は「現代の戦争は空から見えるミサイルだけで戦われるのではない」という事実を改めて突きつけた。

ミシガン州は戦場から1万キロ近く離れている。にもかかわらず、イランの軍事作戦への報復として、米国内の医療機器メーカーが機能停止に追い込まれた。標的になった理由の一つとされるのが、Strykerが2019年に買収したイスラエル企業の存在だ。企業のM&A履歴が、地政学的な攻撃リスクに直結する時代に入った。

被害は製造ラインの停止だけではない。現時点で少なくとも2件の集団訴訟がStrykerに提起されており、社会保障番号や金融情報を含む従業員の個人情報が漏洩した可能性を問題視している。