何が起きたのか
2026年3月、エンドポイント管理システムのセキュリティに関する2つの重要な動きがありました。
- 3月14日:Microsoftが「Best practices for securing Microsoft Intune」を公開。Intune管理者の保護を強化する3つの実践的アプローチを提示
- 3月18日:CISAが緊急警告を発出。Stryker社へのサイバー攻撃を受け、全米組織にIntune等のエンドポイント管理システムの即時ハードニングを勧告
CISAはMicrosoftのベストプラクティスを直接引用し、「Intuneに限らずすべてのエンドポイント管理ソフトウェアに同じ原則を適用すべき」と述べています。本記事では両者の内容を統合し、実装手順付きで解説します。
Stryker社インシデントの概要
| 項目 | 内容 |
|---|---|
| 発生日 | 2026年3月11日 |
| 被害企業 | Stryker Corporation(米国・ミシガン州、医療機器大手) |
| 影響 | Microsoft環境のグローバル障害。受注処理、製造、出荷が停止 |
| 攻撃手法 | 管理者アカウントの侵害→新規グローバル管理者アカウントの作成→Intuneのワイプコマンドで約8万台のデバイスを消去 |
| データ窃取 | 攻撃者は50テラバイトのデータを窃取したと主張 |
| マルウェア | Stryker社はランサムウェアやマルウェアの兆候はないと発表(正規の管理機能が悪用された) |
攻撃手法の特徴:「管理プレーンの武器化」
このインシデントの最大の特徴は、マルウェアではなくIntuneの正規の管理機能(リモートワイプ)が攻撃に使われた点です。攻撃者は管理者アカウントを侵害した後、新しいグローバル管理者アカウントを作成し、Intuneの管理画面からデバイスのワイプコマンドを実行しました。
エンドポイント管理プラットフォームは数千〜数万台のデバイスを一括制御する強力な権限を持つため、管理プレーンが侵害されると被害が一気に拡大します。従来のEDRは「正規の管理コマンド」を悪意のある操作として検知できないことが課題です。
CISAの警告は米国組織向けですが、Intuneを利用している日本企業にも同じリスクがあります。管理者アカウントの保護が不十分な環境では同様の攻撃が成立します。自社のIntune管理者設定を今すぐ確認してください。
CISAの勧告とMicrosoftベストプラクティスの対応
CISAの勧告はMicrosoftの3つの柱を直接参照しています。
| CISAの勧告 | Microsoftのベストプラクティス |
|---|---|
| 最小権限でIntune管理ロールを設計する | 柱① 最小権限:職務に基づくRBAC設計 |
| フィッシング耐性MFAと特権アクセス管理を導入する | 柱② フィッシング耐性認証+特権アクセス管理 |
| 高影響操作にMulti Admin Approvalを有効化する | 柱③ Multi Admin Approval |
Microsoftはこの3つの柱を組み合わせることで、「信頼できる管理者に依存するモデル」から「設計によって保護された管理(protected administration by design)」へのシフトを推奨しています。
対策①:最小権限のRBAC設計
Microsoftの表現:「最小権限は、管理者が実行できるアクションと、そのアクションが適用されるユーザー/デバイスの両方を制限することです」
実装手順
- Step 1:広範な権限ロールの棚卸し:グローバル管理者、Intune管理者を持つユーザーを洗い出し、実際の業務に必要かを検証。日常の管理業務にこれらの権限は不要
- Step 2:組み込みロールの活用:「ヘルプデスクオペレーター」「アプリケーションマネージャー」「エンドポイントセキュリティマネージャー」「読み取り専用オペレーター」等を標準として使用
- Step 3:カスタムロールの作成:組み込みロールで不十分な場合は、必要な権限のみを含むカスタムロールを作成し究極の最小権限を実現
- Step 4:スコープタグの実装:リージョン、事業部、プラットフォームチームでスコープタグを設定し、管理者が操作できるデバイス・ユーザーの範囲を物理的に制限
- Step 5:Entra ID PIMの導入:管理者権限を常時有効にせず、必要な時だけ時間制限付きで昇格(Just-In-Time)。昇格時には再認証を要求
対策②:フィッシング耐性MFAと特権アクセス管理
Microsoftの表現:「特権アクセスは取得が困難で、再利用が困難な状態にする」
実装手順
- 管理者ポータル専用の条件付きアクセスポリシーを作成:Intune、Entra ID等の管理エンドポイントに対して、フィッシング耐性認証のみ許可、準拠デバイス必須、高リスクサインインのブロック、ネットワーク/場所の制限を設定。ポリシーの除外を極力排除
- フィッシング耐性認証への移行:管理者アカウントのパスワード+SMS認証を廃止し、パスキー(FIDO2)またはWindows Hello for Businessに移行
- PIMによる常時アクセスの排除:Entra ID PIMで時間制限付きロール割り当て。条件付き承認ステップの設定。アプリへのアクセス許可を付与・管理できるユーザーの制限
- Privileged Access Workstation(PAW)の導入:セキュリティ基準が強化された専用デバイスからのみ管理操作を実施
- トークン窃取への対応計画:Defender XDRのシグナルを活用し、不審な管理者アクティビティを検知。セッショントークン窃取時の調査・対応手順を策定(→ Microsoft Token Theft Playbook)
対策③:Multi Admin Approval(複数管理者承認)
IntuneのMulti Admin Approval機能は、選択した高影響操作に2人目の管理者の承認を必須にするガバナンスコントロールです。管理コンソールとAPI経由の操作の両方に適用されます。
実装手順
- 承認対象の決定(優先順):まずデバイスワイプ、RBACロール管理、スクリプト展開を承認対象に。次に認証設定、コンプライアンスポリシー、セキュリティベースライン、広範な割り当てスコープの変更を追加
- 承認者の定義:誰が承認できるか、対応SLA(承認までの最大待ち時間)、インシデント時の対応を定義
- Break Glassパスの文書化:緊急時に承認プロセスをバイパスする手順を明示し、事後レビューを必須にすることでスピードとガバナンスを両立
3つの対策の組み合わせ効果
| セキュリティ特性 | 実現手段 | Stryker攻撃への効果 |
|---|---|---|
| 影響範囲の封じ込め | 最小権限+スコープタグ | 1アカウント侵害でも全8万台にはアクセスできない |
| 本人確認の厳格化 | フィッシング耐性MFA+条件付きアクセス | 管理者アカウントの侵害自体を困難にする |
| 変更のガバナンス | Multi Admin Approval | ワイプコマンドに2人目の承認が必要。単独では実行不能 |
| 権限昇格の制御 | PIM(Just-In-Time昇格) | 新規グローバル管理者の作成を防止・検知 |
Stryker社の攻撃シナリオ(管理者侵害→新規GA作成→全デバイスワイプ)に対して、上記4つの防御層のいずれか1つでも機能していれば被害を大幅に軽減できたと考えられます。
今すぐ実施すべきアクション
| 期限 | アクション | 所要時間 |
|---|---|---|
| 今日 | グローバル管理者・Intune管理者のアカウント数を確認。不要な割り当てを即削除 | 30分 |
| 今日 | 全管理者アカウントのMFA状態を確認。未設定なら即時有効化 | 15分 |
| 今週 | 管理者ポータル向けの条件付きアクセスポリシーを作成(フィッシング耐性認証+準拠デバイス必須) | 1時間 |
| 今週 | Multi Admin ApprovalをデバイスワイプとRBACロール管理に適用 | 1時間 |
| 今月 | Intune RBACのフルレビュー。スコープタグの設計・適用 | 4〜8時間 |
| 今月 | Entra ID PIMによるJust-In-Time昇格の導入 | 2〜4時間 |
Intune管理者向け緊急チェックリスト
| # | 確認項目 | 対策の柱 |
|---|---|---|
| 1 | グローバル管理者は2〜3名以下に限定されているか | ①最小権限 |
| 2 | Intune管理者は組み込みロール(ヘルプデスク等)に置き換え済みか | ①最小権限 |
| 3 | スコープタグで管理範囲がリージョン/部門ごとに分離されているか | ①最小権限 |
| 4 | 全管理者アカウントにフィッシング耐性MFA(パスキー/FIDO2)が有効か | ②MFA |
| 5 | 管理者ポータル専用の条件付きアクセスポリシーが設定されているか | ②MFA |
| 6 | PIMでJust-In-Time昇格が導入されているか(常時GAの排除) | ②MFA |
| 7 | デバイスワイプにMulti Admin Approvalが有効か | ③承認 |
| 8 | RBACロール変更・スクリプト展開にMulti Admin Approvalが有効か | ③承認 |
| 9 | 緊急アクセスアカウント(Break Glass)が用意され、条件付きアクセスから除外されているか | 共通 |
| 10 | 管理者操作の監査ログが有効化され、定期レビューされているか | 共通 |
まとめ
Stryker社の事例は「正規の管理ツール(Intune)が攻撃の武器に変わる」という脅威パターンを浮き彫りにしました。CISAとMicrosoftが共通して推奨する対策は①最小権限RBAC ②フィッシング耐性MFA ③Multi Admin Approvalの3点です。Microsoftは「信頼できる管理者に依存する」モデルから「設計による保護」への移行を求めています。Intuneを利用する全組織は、まず今日中に管理者アカウントの棚卸しとMFA確認を行い、今週中にMulti Admin Approvalを有効化してください。