世界中の企業は、サイバーセキュリティ会社CrowdStrikeが配信した誤ったアップデートにより、Windowsワークステーションに広範な障害が発生しています。
「CrowdStrikeは、Windowsホスト向けの単一コンテンツアップデートに見つかった欠陥により影響を受けた顧客と積極的に協力しています」と、同社のCEOであるジョージ・カーツ氏は声明で述べています。「MacとLinuxホストは影響を受けていません。これはセキュリティインシデントでもサイバー攻撃でもありません。」
同社は「Windowsホストでブルースクリーン(Blue Screen of Death)の報告がある」と認め、問題を特定し、Falcon Sensor製品の修正を展開したと述べ、顧客にサポートポータルで最新情報を確認するよう促しました。
既に問題に影響を受けているシステムについては、以下の対策手順を示しています。
- WindowsをセーフモードまたはWindows回復環境で起動する
- C:\Windows\System32\drivers\CrowdStrikeディレクトリに移動する
- “C-00000291*.sys”という名前のファイルを見つけて削除する
- コンピュータまたはサーバーを通常通り再起動する
この障害はGoogle Cloud Compute Engineにも影響を及ぼしており、CrowdStrikeのcsagent.sysを使用しているWindows仮想マシンがクラッシュし、予期しない再起動状態に入ることがあります。
「CrowdStrikeから不良パッチを自動的に受け取った後、Windows仮想マシンはクラッシュし、再起動できなくなります」とのことです。「現在稼働中のWindows仮想マシンは、もう影響を受けないはずです。」
Microsoft Azureも同様のアップデートを投稿しており、「影響を受けた仮想マシンの再起動操作を複数回試みて成功した顧客からの報告を受け取った」と述べ、「再起動を複数回(最大15回)行う必要があるかもしれない」としています。
Amazon Web Services (AWS)も同様に、可能な限り多くのWindowsインスタンス、Windows Workspaces、およびAppstream Applicationsの問題を緩和するための措置を講じており、問題が解決しない顧客には「接続を回復するための行動を取る」ことを推奨しています。
セキュリティ研究者のケビン・ボーモント氏は、「CrowdStrikeが自動更新で配信したドライバを入手しました。どのようにしてそうなったのかは分かりませんが、そのファイルは正しい形式のドライバではなく、Windowsが毎回クラッシュします」と述べています。
「CrowdStrikeはトップレベルのEDR製品であり、販売時点管理システム(POS)やATMなど、さまざまなものに搭載されています。これは、影響の観点から見れば、世界で最も大規模な『サイバー』インシデントになるでしょう。」
航空会社、金融機関、食品および小売チェーン、病院、ホテル、ニュース組織、鉄道ネットワーク、電気通信会社など、多くの企業が影響を受けています。CrowdStrikeの株価は米国のプレマーケット取引で15%下落しました。
「現在の事象は、7月においても、2024年の最も重要なサイバー問題の一つになると予想されます」と、CyberArkの最高情報責任者(CIO)であるオマー・グロスマン氏はThe Hacker Newsに寄せた声明で述べています。「グローバルなビジネスプロセスへのダメージは劇的です。これは、CrowdStrikeのEDR製品のソフトウェアアップデートによる不具合です。」
「この製品は、エンドポイントを保護するために高い権限で動作します。この製品の不具合は、現在のインシデントで見られるように、オペレーティングシステムをクラッシュさせることができます。」
グロスマン氏は、問題を手動で解決する必要があるため、回復には数日かかると予想しており、セーフモードで起動してバグのあるドライバを削除する必要があると指摘しています。根本原因の特定も非常に重要だと述べています。
スロバキアのサイバーセキュリティ会社ESETのグローバルセキュリティアドバイザーであるジェイク・ムーア氏は、このインシデントが多重「フェールセーフ」の必要性を強調しており、ITインフラの多様化の重要性を示しています。
「システムやネットワークのアップグレードやメンテナンスには、意図せずに小さなエラーが含まれることがあり、今日のCrowdStrikeの顧客が経験したように、広範な影響を与える可能性があります」とムーア氏は述べています。
「このインシデントのもう一つの側面は、大規模なITインフラの『多様性』に関連しています。これは、オペレーティングシステム(OS)、サイバーセキュリティ製品、その他のグローバルに展開されているアプリケーションに適用されます。多様性が低い場合、技術的な問題一つで、全世界的な障害が発生し、その後の影響が生じる可能性があります。」
この出来事は、Microsoftが自身の問題から回復している中で発生しました。Microsoft 365アプリとサービス(Defender、Intune、OneNote、OneDrive for Business、SharePoint Online、Windows 365、Viva Engage、Purviewなど)に問題を引き起こしていました。
「Azureバックエンドワークロードの一部での構成変更により、ストレージとコンピュートリソース間の接続が中断され、その接続に依存するMicrosoft 365サービスの接続障害が発生しました」と、技術大手は述べています。
OpenSSFのゼネラルマネージャーであるオムカー・アラサラトナム氏は、Microsoft-CrowdStrikeの障害が、単一文化的な供給チェーンの脆弱性を浮き彫りにし、技術スタックの多様性の重要性を強調していると述べています。
「単一文化的な供給チェーン(単一のOS、単一のEDR)は、本質的に脆弱であり、システム的な故障に対してもろいことが分かりました」とアラサラトナム氏は指摘しています。「優れたシステムエンジニアリングでは、これらのシステムの変更は徐々に展開し、小さな範囲で影響を観察するべきであり、一度にすべてを展開するべきではありません。より多様なエコシステムは、システム的な問題に対しても耐性があり、迅速な変更にも対応できます。」