「Windows死のブルースクリーン」で一躍有名になったCrowdStrikeの真相：世界的Windows障害について知っておくべきこと【前編】

「Windows」搭載デバイスの「青い画面」が世界中で多発した。原因はセキュリティベンダーCrowdStrikeの更新プログラムだった。なぜこのような事態に至ったのか。

[Alex Scroxton，TechTarget]

　2024年7月19日（現地時間）、急速に拡大するシステム障害のニュースで英国は目覚めた。この障害は世界中の企業に影響を及ぼした。大混乱は2024年7月19日の早朝にオーストラリアで始まり、その後アジア、欧州、南北アメリカへと一瞬のうちに広がった。特に深刻な影響を受けたのは、航空会社や医療機関などだ。

　障害の原因がセキュリティベンダーCrowdStrikeのソフトウェアにあることはすぐに判明した。大混乱の中、同社はすぐにインシデント対応に取り組んでいた。今回のインシデントの全容を把握するに当たり、まずはCrowdStrikeがどのような企業なのかを正しく理解することが欠かせない。

Windows障害で一躍有名に？　CrowdStrikeの真相

併せて読みたいお薦め記事

CrowdStrike事件について詳しく

• CrowdStrikeが抱える「Windows障害850万台」の次の“深刻な問題”
• 「CrowdStrike事件」の真相　Windowsに迫る“新たな脅威”とは？

　CrowdStrikeは2012年設立のセキュリティベンダーだ。世界中にユーザー企業を抱えている。米テキサス州に拠点を置き、年間売上高は約30億ドルを超える。

　自社について、CrowdStrikeは以下のように説明する。

　CrowdStrikeは現代企業を前進させる従業員、プロセス、テクノロジーを保護し、それぞれが企業の推進力になれるようにする最先端のクラウドネイティブプラットフォームによって、セキュリティの定義を変えてきました。CrowdStrikeは、エンドポイント、クラウドワークロード、ID、データといった最も重要なリスク領域を保護することで、ユーザー企業が常に攻撃者に先んじて侵害を阻止できるようにします。

　IT業界にあまり詳しくない人にとって、CrowdStrikeはなじみが薄い企業だ。だがフォーミュラ1（F1）ファンなら知っている可能性がある。同社が「Mercedes-AMG PETRONAS」チームの主力スポンサーであるためだ。安全装置「Halo」にCrowdStrikeのブランド名が記されていることに加え、ドライバーのルイス・ハミルトンが運転するF1マシンの車載カメラ映像にも同社ブランド名がはっきりと映っている。

　CrowdStrikeは、以下の重大なインシデントの調査に貢献した。

• 2014年のSony Pictures Entertainmentに対するハッキング
  • 北朝鮮の攻撃者集団が実行したとみられる。
• 2017年の「WannaCry」による大規模攻撃
  • ランサムウェア（身代金要求型マルウェア）であるWannaCryが、世界各国の組織に被害をもたらした。
• 2016年の米民主党全国委員会に対するハッキング
  • ロシアの情報機関の関与が疑われている。

　こうした経歴を考えると、CrowdStrikeはセキュリティ専門家の間でも一定の知名度があると言える。

なぜCrowdStrike事件は起きた？

　今回の混乱は、悪名高い「死のブルースクリーン」（BSOD）の形で最初に現れた。BsoDは、MicrosoftのOS「Windows」搭載のPCで深刻なシステムエラーが起きたことを示す。

　Microsoftは当初、混乱が自社製品にあると考えて調査を進めた。その後、問題の原因はWindowsではなく、CrowdStrikeのエンドポイントセキュリティツール「CrowdStrike Falcon」にある欠陥であることが明らかになった。

　CrowdStrike Falconは、次世代マルウェア対策、EDR（Endpoint Detection and Response）、脅威インテリジェンス、脅威ハンティング、サイバーハイジーン（ITの衛生管理）を統合したエンドポイントセキュリティツールだ。これらの機能はインターネット経由で配信されるセンサー（エージェントソフトウェア）と連携して提供される。

　CrowdStrikeは調査を実施し、障害の原因が配信されたCrowdStrike Falconのセンサーの緊急アップデートにあることを特定した。このアップデートは、脅威アクターの行動に関する新しい指標を特定、検出、防止する機能を強化するためのものだ。

　今回のアップデートでは、問題のある設定データを含む「テンプレートインスタンス」の配信が誤って承認された。テンプレートインスタンスとは、設計図（テンプレートタイプ）に基づいて作成される具体的な脅威対処の動作を定義するものだ。このテンプレートインスタンスの問題によって、プログラムがアクセスを許可されていないメモリ領域にアクセスしようとした状態（境界外メモリ状態）が発生し、Windowsのクラッシュを引き起こした。

　エラーが積み重なり、「ブートループ」と呼ばれる現象が発生した。ブートループは、Windows搭載デバイスが起動プロセス中に警告なく再起動する状況を表す。つまりWindows搭載デバイスが正しい起動プロセスを完了できず、その結果正常に起動できなくなる状態のことだ。デスクトップPCやサーバマシンといった、さまざまな種類のマシンでテストが不十分であったり、カーネル（OSの中核）レベルの操作を伴うアップデートをテストないしロールバックする仕組みが不足している場合、ブートループが発生することがある。

---

　次回は、CrowdStrikeの問題が引き起こした影響を解説する。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。