CISA警告：Microsoft Intuneが悪用され医療機器大手Strykerへのサイバー攻撃でデバイスが大量消去

Microsoft Intuneが「武器」に——Strykerへのサイバー攻撃でCISAが緊急警告

米国のサイバーセキュリティ機関CISA（Cybersecurity and Infrastructure Security Agency）は、医療機器大手Strykerへのサイバー攻撃を受け、組織のエンドポイント管理システムを早急に強化するよう警告する勧告を発出した。

攻撃の手口：マルウェア不使用でデバイスを大量消去

今回の攻撃で特筆すべき点は、従来型マルウェアをまったく使用しなかったことだ。攻撃者はMicrosoft Intune——企業が社内デバイスをリモート管理するためのエンドポイント管理サービス——の管理者権限を不正に取得し、大規模なデバイスのワイプ（初期化・消去）を実行したとされる。

CISAによれば、攻撃の起点は管理制御の脆弱性にあった。正規の管理ツールを悪用することで、セキュリティ製品の検知を回避しながら広範な破壊活動を展開できるという、現代的な「Living off the Land（環境寄生型）」攻撃の典型例となっている。

なぜIntuneが狙われるのか

Microsoft Intuneは、Microsoft 365エコシステムに統合された主要なモバイルデバイス管理（MDM）ソリューションであり、国内外の多くの企業・組織が採用している。その特性上、一度管理者権限が奪われると、配下にある数百〜数千台のデバイスをリモートから一括操作できてしまう。

こうした管理プラットフォームは、正規機能を通じて操作するため、エンドポイントセキュリティ製品がアラートを上げにくいという盲点がある。攻撃者はマルウェアを仕込むリスクを負わずに、壊滅的な被害を与えられる。

CISAが推奨する対策

CISAの勧告では、エンドポイント管理システムを保護するための具体的な対策が示されている。

• 多要素認証（MFA）の徹底：管理者アカウントへの不正アクセスを防ぐ第一関門として、すべての管理者アカウントにMFAを必須化する
• 最小権限の原則：Intuneを含む管理ツールの権限を最小限に抑え、不必要な管理者権限を削除する
• 条件付きアクセスポリシーの強化：信頼された場所・デバイスからのみ管理操作を許可する
• ログ監視の強化：Intuneの操作ログをSIEMと連携し、異常な一括操作を即座に検知できる体制を整える
• 定期的な権限レビュー：管理者アカウントの棚卸しを定期的に実施し、退職者・異動者の権限を速やかに削除する

日本企業への示唆

Microsoft 365を広く導入している日本企業にとっても、この攻撃手法は対岸の火事ではない。特にIntuneをはじめとするエンドポイント管理ツールの管理者アカウントは、攻撃者にとって最も価値の高い標的の一つとなっている。

今回のStrykerへの攻撃は、セキュリティ対策が「マルウェア対策だけでは不十分」であることを改めて浮き彫りにした。正規ツールの悪用（Abuse of Legitimate Tools）への対策として、ID管理・権限管理・ログ監視の強化が急務だ。

元記事: CISA Warns Attackers Abused Microsoft Intune to Wipe Devices in Stryker Cyberattack