Windowsブルースクリーン問題を招いた「CrowdStrikeじゃない方の原因」はこれだ：“Windowsの弱点”があらわに

CrowdStrikeのセキュリティソフトウェアが原因で引き起こされたWindowsの大規模障害。この一件で露呈したのは、CrowdStrike側の問題だけではない。Windowsのある弱点も明らかになった。

[Cliff Saran，TechTarget]

　MicrosoftのクライアントOS「Windows」搭載のPCにおいて2024年7月19日に発生した大規模障害は、世界中を混乱させた。Microsoftによれば850万台に影響が及んだというこの障害の原因は、CrowdStrikeのセキュリティソフトウェアのアップデートだったことが分かっている。この一件で露呈したのは、CrowdStrikeのソフトウェアにおける欠陥だけではない。その欠陥に連動する形で、Windowsの“ある弱点”が露呈した。

CrowdStrikeの欠陥だけじゃない　もう一つの“根深い原因”はこれだ

併せて読みたいお薦め記事

Windowsのトラブル対処

• Windowsの「画面が真っ黒」になるエラーを“放置”できない理由とは？
• Windows 11“やっぱりおかしい”の原因はストレージの「あの問題」の可能性

　CrowdStrikeによると、Windows搭載PCの一部がブルースクリーン（OSに深刻なエラーが発生した場合の青い画面）になったのは、迅速にセキュリティシステムを改善するための設定更新である「Rapid Response Content」に不備があったことが原因だった。Rapid Response Contentは、脅威に迅速に対処することを目的に事前定義された「Template Types」という型に沿って作られた「Template Instance」として配信される。

　Rapid Response Contentは、Windowsで稼働するエンドポイントセキュリティツール「CrowdStrike Falcon」のセンサー（エージェント）を構成するバイナリファイル（コンピュータが使用するファイル）に保存される。CrowdStrikeによると、センサーはRapid Response Contentを読み取ることで、個々のポリシー設定に応じて監視し、悪意のある挙動を検出したり、防止したりできるようになる。

　CrowdStrikeの説明によれば、原因のTemplate Instanceは問題のあるデータを含んでいたにもかかわらず、検証を通過した。それを、センサーにおいてRapid Response Contentを読み込むコンポーネントである「Content Interpreter」が読み込んだ際、境界外メモリ読み出し（割り当てられたメモリ領域外のデータを読み込むこと）が発生。その例外的な処理が障害を引き起こすことになった。

　今回のCrowdStrike Falconのバグで発生したような更新プログラムによる壊滅的な障害は、通常はソフトウェアがカーネルモードのデバイスドライバとして実行される場合に発生する可能性があるという点で、さまざまな専門家の見方は一致している。MicrosoftのOS開発チームに所属していたデビッド・ウィリアム・プラマー氏も、動画共有サイトに投稿した動画で同様の見解を示している。

　カーネルモードとは、OSの中核となるカーネルを動かすための権限であり、PCを完全に制御できることを意味する。カーネルモードは、複数の特権レベルを定義する「リングプロテクション」の考え方の中では、最も高い特権である「リング0」に位置付けられる。

　通常、ソフトウェアの大部分はカーネルモードではなく「ユーザーモード」で実行される。ユーザーモードの場合は、何らかのバグがあっても、ブルースクリーンになるようなOS全体のクラッシュ（正常に動作しなくなること）になるのではなく、プログラムのみがクラッシュする。

　CrowdStrikeは今回の障害に関する報告の中で、Rapid Response Contentのバグと、テンプレートインスタンスを検証する役割を担う「Content Configuration System」のバグがあり、結果として問題のあるファイルが配信されることになったと説明している。

　今回のような深刻な事態が起きたのはなぜなのか。2つの問題を提起できる。まずはCrowdStrikeの品質保証やテストのプロセスが十分に実施されていなかったのではないかという点。もう一つは、デバイスドライバなどのハードウェア関連製品が一定の基準を満たしていることを認定するMicrosoftの制度「Windows Hardware Quality Labs」（WHQL）で、今回のバグが検出されなかったのはなぜかという点だ。

　広範に影響が及んだ今回の大規模障害は、単にCrowdStrikeのソフトウェアに不備があっただけではなく、CrowdStrikeとMicrosoftの両社のプロセスにおいて不備があったことで生じた障害だったと言える。MicrosoftはIT業界全体に対し、再発防止に向けて協力と連携を呼び掛けているが、同様の問題が二度と起こらないようにするためには、単なる呼び掛け以上の取り組みが必要だ。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。