CrowdStrikeのセキュリティソフトウェアが原因で引き起こされたWindowsの大規模障害。この一件で露呈したのは、CrowdStrike側の問題だけではない。Windowsのある弱点も明らかになった。
MicrosoftのクライアントOS「Windows」搭載のPCにおいて2024年7月19日に発生した大規模障害は、世界中を混乱させた。Microsoftによれば850万台に影響が及んだというこの障害の原因は、CrowdStrikeのセキュリティソフトウェアのアップデートだったことが分かっている。この一件で露呈したのは、CrowdStrikeのソフトウェアにおける欠陥だけではない。その欠陥に連動する形で、Windowsの“ある弱点”が露呈した。
CrowdStrikeによると、Windows搭載PCの一部がブルースクリーン(OSに深刻なエラーが発生した場合の青い画面)になったのは、迅速にセキュリティシステムを改善するための設定更新である「Rapid Response Content」に不備があったことが原因だった。Rapid Response Contentは、脅威に迅速に対処することを目的に事前定義された「Template Types」という型に沿って作られた「Template Instance」として配信される。
Rapid Response Contentは、Windowsで稼働するエンドポイントセキュリティツール「CrowdStrike Falcon」のセンサー(エージェント)を構成するバイナリファイル(コンピュータが使用するファイル)に保存される。CrowdStrikeによると、センサーはRapid Response Contentを読み取ることで、個々のポリシー設定に応じて監視し、悪意のある挙動を検出したり、防止したりできるようになる。
CrowdStrikeの説明によれば、原因のTemplate Instanceは問題のあるデータを含んでいたにもかかわらず、検証を通過した。それを、センサーにおいてRapid Response Contentを読み込むコンポーネントである「Content Interpreter」が読み込んだ際、境界外メモリ読み出し(割り当てられたメモリ領域外のデータを読み込むこと)が発生。その例外的な処理が障害を引き起こすことになった。
今回のCrowdStrike Falconのバグで発生したような更新プログラムによる壊滅的な障害は、通常はソフトウェアがカーネルモードのデバイスドライバとして実行される場合に発生する可能性があるという点で、さまざまな専門家の見方は一致している。MicrosoftのOS開発チームに所属していたデビッド・ウィリアム・プラマー氏も、動画共有サイトに投稿した動画で同様の見解を示している。
カーネルモードとは、OSの中核となるカーネルを動かすための権限であり、PCを完全に制御できることを意味する。カーネルモードは、複数の特権レベルを定義する「リングプロテクション」の考え方の中では、最も高い特権である「リング0」に位置付けられる。
通常、ソフトウェアの大部分はカーネルモードではなく「ユーザーモード」で実行される。ユーザーモードの場合は、何らかのバグがあっても、ブルースクリーンになるようなOS全体のクラッシュ(正常に動作しなくなること)になるのではなく、プログラムのみがクラッシュする。
CrowdStrikeは今回の障害に関する報告の中で、Rapid Response Contentのバグと、テンプレートインスタンスを検証する役割を担う「Content Configuration System」のバグがあり、結果として問題のあるファイルが配信されることになったと説明している。
今回のような深刻な事態が起きたのはなぜなのか。2つの問題を提起できる。まずはCrowdStrikeの品質保証やテストのプロセスが十分に実施されていなかったのではないかという点。もう一つは、デバイスドライバなどのハードウェア関連製品が一定の基準を満たしていることを認定するMicrosoftの制度「Windows Hardware Quality Labs」(WHQL)で、今回のバグが検出されなかったのはなぜかという点だ。
広範に影響が及んだ今回の大規模障害は、単にCrowdStrikeのソフトウェアに不備があっただけではなく、CrowdStrikeとMicrosoftの両社のプロセスにおいて不備があったことで生じた障害だったと言える。MicrosoftはIT業界全体に対し、再発防止に向けて協力と連携を呼び掛けているが、同様の問題が二度と起こらないようにするためには、単なる呼び掛け以上の取り組みが必要だ。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
エンタープライズ向け技術は、Linuxを中核に据え、オープンソースで動作しているものが多い。しかし近年、一部のベンダーが契約による囲い込みを強めており、ベンダーロックインのリスクが高まっている。安定したLinux運用を実現するには?
ITサービスへの要求は年々増大しており、その対応を手作業でカバーするには限界がある。そこで導入されるのがITSMツールだが、特に自動化機能には注意が必要だ。自社に適した運用自動化や作業効率化を実現できるのか、しっかり吟味したい。
業務効率を高めて生産性を向上させるために、多くの企業がITシステムの導入を進めている。しかし、自社の業務に合わないITシステムを導入してしまっては、逆に生産性が低下する可能性も高い。この問題をどう解決すればよいのだろうか。
世界中で広く利用されているChromeブラウザは、業務における重要なエンドポイントとなっているため、強固なセキュリティが必要となる。そこでChromeブラウザを起点に、企業が安全にWebへのアクセスポイントを確立する方法を紹介する。
Google Chromeの拡張機能は生産性の向上に不可欠な機能であり、ユーザーが独自にインストールできる一方、IT管理者を悩ませている。ユーザーデータを保護するためにも、効率的な運用・監視が求められるが、どのように実現すればよいのか。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
