CISAの緊急警告
2026年3月18日、米国CISA(Cybersecurity and Infrastructure Security Agency)は、エンドポイント管理システム(特にMicrosoft Intune)の即時ハードニング(強化)を勧告する緊急警告を発出しました。2026年3月11日に発生した米国医療機器大手Stryker Corporation へのサイバー攻撃を受けた対応です。
CISAはFBIと連携して追加の脅威の特定と対策の策定を進めており、すべての米国組織に対してエンドポイント管理システムの設定を強化するよう呼びかけています。
Stryker社インシデントの概要
| 項目 | 内容 |
|---|---|
| 発生日 | 2026年3月11日 |
| 被害企業 | Stryker Corporation(米国・ミシガン州、医療機器大手) |
| 影響 | Microsoft環境のグローバルな障害。受注処理、製造、出荷が停止 |
| 攻撃手法 | 管理者アカウントの侵害→新規グローバル管理者アカウントの作成→Intuneのワイプコマンドを悪用し約8万台のデバイスを消去 |
| データ窃取 | 攻撃者は50テラバイトのデータを窃取したと主張 |
| マルウェア | Stryker社はランサムウェアやマルウェアの兆候はないと発表(正規の管理機能が悪用された) |
攻撃手法の特徴:「正規ツールの悪用」
このインシデントの最大の特徴は、マルウェアではなく、Intuneの正規の管理機能(リモートワイプ)が攻撃に使われた点です。攻撃者は管理者アカウントを侵害し、Intuneの管理画面からデバイスのワイプコマンドを実行しました。
エンドポイント管理プラットフォームは数千〜数万台のデバイスを一括制御する強力な権限を持つため、管理プレーンが侵害されると被害が一気に拡大します。従来のEDRやマルウェア検知では「正規の管理コマンド」を悪意のある操作として検知できないことが課題です。
CISAの警告は米国組織向けですが、Intuneを利用している日本企業にも同じリスクがあります。管理者アカウントの保護が不十分な環境では同様の攻撃が成立します。自社のIntune管理者設定を今すぐ確認してください。
CISAの3つの勧告
勧告① 最小権限の原則でIntune管理ロールを設計する
グローバル管理者やIntune管理者のような広範な権限を持つロールの使用を最小限にし、IntuneのRBAC(ロールベースアクセス制御)で業務に必要な最小限の権限のみを付与します。
- グローバル管理者・Intune管理者の割り当てを棚卸しし、不要な割り当てを削除
- Intuneの組み込みロール(ヘルプデスクオペレーター、アプリケーションマネージャー等)を活用
- スコープタグで管理対象のデバイス・ユーザーを制限
- Entra ID PIM(Privileged Identity Management)でJust-In-Time昇格を導入
勧告② フィッシング耐性のあるMFAと特権アクセス管理
Intuneの管理操作にはフィッシング耐性のあるMFA(パスキー/FIDO2)を必須にし、条件付きアクセスで管理者アクセスを制御します。
- 管理者ポータル(Intune、Entra ID)専用の条件付きアクセスポリシーを作成
- フィッシング耐性のある認証方式のみ許可(パスワード+SMS認証は不可)
- 準拠デバイスからのみ管理操作を許可
- 高リスクサインインの自動ブロック
- トークン窃取への対応計画を策定
勧告③ Multi Admin Approval(複数管理者承認)を有効化する
Intuneの高影響操作(デバイスワイプ、スクリプト展開、RBACロール変更等)に対して、2人目の管理者の承認を必須にする機能です。これにより、1つのアカウントが侵害されただけではテナント全体への影響を防げます。
- デバイスワイプ、スクリプト展開、RBACロール管理を承認対象に設定
- 承認者ロールと対応SLAを定義
- 緊急時のBreak Glassパスを文書化(事後レビュー付き)
今すぐ実施すべきアクション
| 優先度 | アクション | 所要時間 |
|---|---|---|
| 今日 | グローバル管理者・Intune管理者のアカウント数を確認。不要な割り当てを削除 | 30分 |
| 今日 | 全管理者アカウントのMFA状態を確認。未設定なら即時有効化 | 15分 |
| 今週 | 管理者ポータル向けの条件付きアクセスポリシーを作成 | 1時間 |
| 今週 | Multi Admin ApprovalをデバイスワイプとRBACロール管理に適用 | 1時間 |
| 今月 | Intune RBACのフルレビュー。スコープタグの設計・適用 | 4〜8時間 |
| 今月 | Entra ID PIMによるJust-In-Time昇格の導入 | 2〜4時間 |
Intune管理者向け緊急チェックリスト
| # | 確認項目 | 状態 |
|---|---|---|
| 1 | グローバル管理者は2〜3名以下に限定されているか | □ |
| 2 | 全管理者アカウントにMFA(できればフィッシング耐性あり)が有効か | □ |
| 3 | 管理者ポータル向けの条件付きアクセスポリシーが設定されているか | □ |
| 4 | デバイスワイプにMulti Admin Approvalが有効か | □ |
| 5 | IntuneのRBACで最小権限が適用されているか | □ |
| 6 | スコープタグでリージョン/部門ごとに管理範囲が分離されているか | □ |
| 7 | 緊急アクセスアカウント(Break Glass)が用意され、監視されているか | □ |
| 8 | 管理者操作の監査ログが有効化され、定期レビューされているか | □ |
まとめ
Stryker社の事例は「正規の管理ツール(Intune)が攻撃の武器に変わる」という新たな脅威パターンを浮き彫りにしました。CISAの勧告は①最小権限②フィッシング耐性MFA③Multi Admin Approvalの3点に集約されます。Intuneを利用する全組織は今すぐ管理者アカウントの棚卸しとMulti Admin Approvalの有効化を実施してください。