MDMが“破壊の配送路”になる日——Handala/Void Manticoreのワイパー運用とIntune悪用の実像

今日の深掘りポイント

• フィッシングで奪った管理者認証をテコに、Microsoft IntuneなどのMDMを“全社同時破壊”の配送路として使う手口が前面化しています。
• Handala Hack（一部でVoid Manticore関連と目される）が、ワイパー攻撃と管理面の悪用を組み合わせ、イスラエルや米国の組織に実害を与えています。
• MDM乗っ取りは横展開の手間を飛ばし、数分〜数時間でサーバー・エンドポイント群を一斉に初期化/破壊できるため、EDRやバックアップ運用を含めた“同時多発の復旧不能”を招きます。
• 日本企業にとっても、クラウドID/MDMの「常時特権」「設定の一括配布」「監査ログの可視化不足」が致命的な単一障害点になり得ます。
• 対策の要は、管理者のフィッシング耐性（フィッシング耐性MFA）、JIT/PIMによる常時特権の排除、IntuneのRBAC/スコープ分離、配布リング制御、そして監査・検知の“事前設計”です。

はじめに

サイバー攻撃の舞台は、いまや侵入後にじわじわと横展開する時代から、「管理プレーンを奪って一気に壊す」時代へと重心を移しつつあります。特にクラウドIDとMDMの組み合わせは、攻撃者から見れば“企業全体をまとめて操作できる夢のリモコン”です。イスラエル・イランを巡る地政学的緊張の高まりと歩調を合わせ、Handala HackがフィッシングとIntune悪用で破壊的ワイパーを広域にばらまく手口が観測されています。被害の射程は地域外にも及ぶ可能性が高く、日本のCISOやSOCにとっても、もはや“対岸の火事”ではありません。今日は、その実像と盲点、そして現場で今日から絞るべきボルトナットを立体的に見ていきます。

深掘り詳細

事実関係（一次情報に基づく要点）

• Palo Alto Networks Unit 42は、Handala Hackが関与したとみられる破壊的活動の増加を報告し、フィッシングを起点に管理アクセスを奪取し、Microsoft Intuneを配送経路としてワイパーや削除コマンドを展開する実例に言及しています。イスラエルや米国の組織に影響が及んでいること、攻撃が国家主導の支援を受けている可能性にも触れられています（評価）と報じています。詳細は同社の分析を参照ください［Unit 42］です。
  参考: Palo Alto Networks Unit 42: Handala Hack Wiper Attacks
• 報告では、初期侵入にフィッシング（MFA疲労や認証情報詐取を含む）が使われ、奪取した高権限アカウントでMDMにログイン。企業の配布プロファイルやスクリプト機能を用いて、短時間に多数端末へ破壊的ペイロードをデプロイする流れが整理されています。
• イスラエルの当局（報告中で引用される関係機関の警告）も、企業ネットワークに侵入後にサーバーやワークステーションを削除する事例を警告しており、ワイパーにとどまらず、リモートワイプや初期化機能の悪用が疑われるパターンが観測されています（一次出典はUnit 42内の参照先に依拠）です。

注: 上記は提示された一次情報（Unit 42）に依拠した要約です。国・機関の個別通達や技術的IoCは、該当当局/ベンダーの一次発表をご確認ください（本稿では未参照のため直接引用は控えます）です。

インサイト（編集部の考察）

• なぜMDM乗っ取りが“最悪”なのか
  MDMは横展開のハードルを消し去り、「配布対象＝被害範囲」という等号を成立させます。従来なら資格情報の収集、特権昇格、EDR回避、スケジューラ設定といった複数段の動作が必要でしたが、MDM配布はこれらをワンストップで代替します。とりわけ以下が致命点です。
  • 配布リングやスコープが「All devices/All users」に近い構成だと、一撃で全社停止になります。
  • Intuneのスクリプト/Win32アプリ配布は、復旧用エージェントやEDR停止→VSS削除→ファイル/ボリューム破壊の連鎖を“レシピ化”できます。
  • 「退職/ワイプ/Autopilot Reset」の正規機能すら、濫用されれば“正規の顔をした破壊命令”になります。監査と承認の仕組みがなければ、事後に「誰が何をやったか」を特定しにくいのも難点です。
• 「ハクティビスト風」から「準軍事的破壊」へ
  Handala Hackのようなブランドは、情報作戦と技術作戦の結節点として使われがちです。背後の運用（TTP）が国家主導のAOR（Area of Responsibility）に整合するとき、活動は抗議やリークを超えて、戦時サイバーの“物理的効果に近い停電”を狙う位相に移ります。MDM奪取は、まさにその位相に合致します。
• メトリクスから読む実務的な重み
  公表スコアは引用しませんが、「発生確度が高く、即応性が問われ、かつ破壊の射程が深い」事象であることがにじみます。現場運用に落とすなら、単にMFAを足すだけでなく、「管理者の常時特権を廃し、配布対象を段階リングに限定し、監査と検知で“質の異常”を捕まえる」三点セットを、最速で回すべき局面です。

脅威シナリオと影響

以下は、MITRE ATT&CKに沿って想定するシナリオです（仮説を含みます）。固有のIoCは環境ごとに異なるため、検知ロジックは自社のログ可視化状況に合わせて最適化してください。

• シナリオ1：管理IDを奪ってIntuneから“一斉破壊”

  • Initial Access: フィッシング（T1566）、有効なアカウント悪用（T1078/Cloud Accounts）です。
  • Credential/Defense Evasion: MFA疲労/中間者によるMFA形骸化（T1556系の認証プロセス改ざん相当）、セキュリティツール無効化（T1562.001）です。
  • Persistence/Privilege: アカウント操作・追加ロール付与（T1098/Additional Cloud Roles）、新規アプリ登録・同意の濫用（OAuth関連）です。
  • Command & Control: Microsoft Graph/Intune APIなどのウェブサービス利用（T1102）です。
  • Execution: PowerShell（T1059.001）/スクリプト配布、Win32 LOBアプリ配布による任意コード実行です。
  • Impact: システム復旧妨害（T1490）、データ破壊（T1485）、ディスクワイプ（T1561）、アカウント無効化（T1531）です。
  • 影響: 数時間で全クライアントの再展開が必要になり、バックアップ/EDR/管理基盤も同時に損耗するため、MTTRが桁違いに伸びます。

• シナリオ2：EDR殺し→バックアップ抹消→遅延起爆ワイパー

  • Defense Evasion: セキュリティツール停止（T1562）、ログ消去（T1070）です。
  • Discovery/Impact: バックアップリポジトリの探索（T1046/環境に応じた探索）→スナップショット削除（T1490）→遅延起動のワイパー配布（T1053.005）です。
  • 影響: “復旧資源”を先に殺してから本体を壊すため、BCP/DRの想定外の遅延が発生します。

• シナリオ3：ヘルプデスク権限濫用による段階的ワイプ

  • Privilege Abuse: Intuneのリモートアクション（Wipe/Retire/Autopilot Reset）を中位権限で連続実行です。
  • 影響: 高権限監査に引っかかりにくく、日常運用ノイズに紛れて台数を積み上げる“静かな破壊”になります。

副作用として、OT/工場端末や医療端末をIntuneで所管している場合、現地作業の即時停止・患者ケア中断等、物理的インパクトが生じ得ます。BCP上の“現場迂回策”の用意は、もはやサイバー対策の一部です。

セキュリティ担当者のアクション

“セオリー通り”をもう一段掘り下げ、自社のID/MDMの構造に即して実装してください。以下は優先度高の具体策です。

• アイデンティティと特権の収斂リスクを断つ

  • 管理者全員にフィッシング耐性MFA（FIDO2、証明書ベース）を強制します。Push/TOTPの単独運用をやめ、管理ポータルは強いMFA＋条件付きアクセスで地理/IP/デバイスを絞り込みます。
  • 常時特権を廃し、PIM/JITで昇格を時間制にします。Global Admin/Intune Adminは最小数に限定し、カスタムロールで“Wipe/Retire/Script/アプリ配布”を分割します。
  • 管理者業務はPAW（特権作業端末）からのみ許可し、個人端末や一般業務端末からの管理ポータル接続を遮断します。

• Intune（MDM）を“単一障害点”から“多層ガード”へ

  • RBAC＋スコープタグ＋配布リング（Dev→Pilot→Prod）の三点セットを必須にし、「All devices/All users」への直接配布を原則禁止します。
  • スクリプト/Win32アプリの配布権限に二重承認を設け、コード署名（PowerShellの署名必須化、WDAC/AppLockerの許可リスト）を運用します。
  • リモートアクション（Wipe/Retire/Autopilot Reset）は、特定ロール＋少数端末限定のスコープでのみ許可し、全社配下ロールからは外します。

• 監査・検知は“異常の質”を捉える設計に

  • Intune監査ログをSIEMに送出し、次のシグナルを即時アラート化します。
    • 新規スクリプト/Win32アプリ作成、既存配布物の急な改変、ターゲットの“All devices/All users”化
    • 大量のデバイスに対する短時間のWipe/Retire/Reset実行
    • 新規のロール割当/権限昇格、管理者の不審サインイン（不可能移動、未承認拠点、非準拠端末）
  • Microsoft 365/Azure ADのサインインログでは、「クラウドアプリ＝Microsoft Intune/Graph」「管理者ロール対象」の異常を優先監視します。
  • “カナリア配布グループ”を用意し、未知の配布が当該グループに飛んだ時点で自動ブロック/通知する仕組みを入れます。

• EDR/バックアップの“先手殺し”に備える

  • MDE等のTamper Protectionを強制し、サービス停止系の振る舞い（T1562）に高感度で反応します。
  • 重要サーバー/バックアップは多重防御に。バックアップはオフライン/イミュータブル（WORM/オブジェクトロック）を併用し、VSSだけに依存しない構成にします。
  • 復旧手順は“MDMが使えない前提”で作り直します。クリーンルームとなる管理用VLAN、ゴールデンイメージ、オフラインでの資格情報ローテーション手順を整備します。

• 即日できる“30分の健診”

  • Global Admin/Intune Adminの人数と最終ログイン元を棚卸しします。
  • Intuneで“All devices/All users”に紐づく配布物・リモートアクション権限がないかを洗い出します。
  • Intune監査ログがSIEMに入っているか、アラートが鳴るかを実機テストします（ダミースクリプトの作成→検知）。
  • 管理者のMFA方式がFIDO2/証明書かを確認し、未対応者に期限を切って是正します。

• 中長期の再設計

  • ID境界（IdP）とMDMの責任分離、テナント分割（高リスク部門の分離管理）、ゼロトラスト運用への段階移行を進めます。
  • レッドチーム/パープルチームで「Intune乗っ取り→スクリプト配布→EDR殺し→バックアップ抹消→遅延ワイプ」シナリオを演習し、検知と封じ込めの“実効速度”を測ります。

最後に強調したいのは、「MDMとIDこそが新しい“クラウンジュエル”」という事実です。ここを握られた瞬間、組織は自力で身動きが取れなくなります。逆にいえば、ここを堅く、観測可能に、回復可能にできれば、破壊の波は大幅に鈍化します。今日の一手が、明日の全社停止を防ぎます。

参考情報

• Palo Alto Networks Unit 42: Handala Hack Wiper Attacks（Handala/Intune悪用と破壊活動の分析）: https://unit42.paloaltonetworks.com/handala-hack-wiper-attacks/