「Windows」搭載デバイスの「青い画面」が世界中で多発した。原因はセキュリティベンダーCrowdStrikeの更新プログラムだった。なぜこのような事態に至ったのか。
2024年7月19日(現地時間)、急速に拡大するシステム障害のニュースで英国は目覚めた。この障害は世界中の企業に影響を及ぼした。大混乱は2024年7月19日の早朝にオーストラリアで始まり、その後アジア、欧州、南北アメリカへと一瞬のうちに広がった。特に深刻な影響を受けたのは、航空会社や医療機関などだ。
障害の原因がセキュリティベンダーCrowdStrikeのソフトウェアにあることはすぐに判明した。大混乱の中、同社はすぐにインシデント対応に取り組んでいた。今回のインシデントの全容を把握するに当たり、まずはCrowdStrikeがどのような企業なのかを正しく理解することが欠かせない。
CrowdStrikeは2012年設立のセキュリティベンダーだ。世界中にユーザー企業を抱えている。米テキサス州に拠点を置き、年間売上高は約30億ドルを超える。
自社について、CrowdStrikeは以下のように説明する。
CrowdStrikeは現代企業を前進させる従業員、プロセス、テクノロジーを保護し、それぞれが企業の推進力になれるようにする最先端のクラウドネイティブプラットフォームによって、セキュリティの定義を変えてきました。CrowdStrikeは、エンドポイント、クラウドワークロード、ID、データといった最も重要なリスク領域を保護することで、ユーザー企業が常に攻撃者に先んじて侵害を阻止できるようにします。
IT業界にあまり詳しくない人にとって、CrowdStrikeはなじみが薄い企業だ。だがフォーミュラ1(F1)ファンなら知っている可能性がある。同社が「Mercedes-AMG PETRONAS」チームの主力スポンサーであるためだ。安全装置「Halo」にCrowdStrikeのブランド名が記されていることに加え、ドライバーのルイス・ハミルトンが運転するF1マシンの車載カメラ映像にも同社ブランド名がはっきりと映っている。
CrowdStrikeは、以下の重大なインシデントの調査に貢献した。
こうした経歴を考えると、CrowdStrikeはセキュリティ専門家の間でも一定の知名度があると言える。
今回の混乱は、悪名高い「死のブルースクリーン」(BSOD)の形で最初に現れた。BsoDは、MicrosoftのOS「Windows」搭載のPCで深刻なシステムエラーが起きたことを示す。
Microsoftは当初、混乱が自社製品にあると考えて調査を進めた。その後、問題の原因はWindowsではなく、CrowdStrikeのエンドポイントセキュリティツール「CrowdStrike Falcon」にある欠陥であることが明らかになった。
CrowdStrike Falconは、次世代マルウェア対策、EDR(Endpoint Detection and Response)、脅威インテリジェンス、脅威ハンティング、サイバーハイジーン(ITの衛生管理)を統合したエンドポイントセキュリティツールだ。これらの機能はインターネット経由で配信されるセンサー(エージェントソフトウェア)と連携して提供される。
CrowdStrikeは調査を実施し、障害の原因が配信されたCrowdStrike Falconのセンサーの緊急アップデートにあることを特定した。このアップデートは、脅威アクターの行動に関する新しい指標を特定、検出、防止する機能を強化するためのものだ。
今回のアップデートでは、問題のある設定データを含む「テンプレートインスタンス」の配信が誤って承認された。テンプレートインスタンスとは、設計図(テンプレートタイプ)に基づいて作成される具体的な脅威対処の動作を定義するものだ。このテンプレートインスタンスの問題によって、プログラムがアクセスを許可されていないメモリ領域にアクセスしようとした状態(境界外メモリ状態)が発生し、Windowsのクラッシュを引き起こした。
エラーが積み重なり、「ブートループ」と呼ばれる現象が発生した。ブートループは、Windows搭載デバイスが起動プロセス中に警告なく再起動する状況を表す。つまりWindows搭載デバイスが正しい起動プロセスを完了できず、その結果正常に起動できなくなる状態のことだ。デスクトップPCやサーバマシンといった、さまざまな種類のマシンでテストが不十分であったり、カーネル(OSの中核)レベルの操作を伴うアップデートをテストないしロールバックする仕組みが不足している場合、ブートループが発生することがある。
次回は、CrowdStrikeの問題が引き起こした影響を解説する。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
ネットワークとセキュリティの機能を一体化したフレームワーク「SASE」が注目されている。一方で、SASEはさまざまな機能で構成されるため、高評価のツールを組み合わせることが多いが、これが後悔の種になることもあるという。
近年、SASE(Secure Access Service Edge)への注目度が高まっているが、その導入は決して容易ではない。そこで、ネットワークおよびセキュリティ、そしてSASEの導入・運用にまつわる課題を明らかにするため調査を実施した。
内部統制強化のため、企業には、システム化による評価プロセスや、システム運用の効率化などが求められている。その解決策の一例となる特権ID管理ツールについて、その機能や導入によって回避可能なセキュリティリスクを解説する。
クラウドセキュリティ運用の大きな課題になっているのが、増え続けるセキュリティアラートに優先度を設定することだ。各環境によって最重要課題は異なるため、環境に合わせて優先度を設定することが必要になる。その実現方法とは?
サイバーセキュリティではまず、攻撃サーフェスへの対策が重要だが、近年はリモートワークやクラウドの普及により、攻撃サーフェスも拡大している。しかも、サプライチェーン攻撃の増加により、中小企業でも対策は待ったなしの状況だ。
数分でデータを人質に 進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)
クラウドサービスの脆弱性をどう解消する? 安全な開発環境を構築するヒント (2025/3/4)
「複雑、高額、難しい」を変える中堅・中小向けSASEのメリットを解説 (2025/2/10)
「Box」に移行してもなくならない「お守り仕事」を根本から効率化するには? (2025/1/23)
これからのセキュリティ対策に必要な「防御側の優位性」、AIはどう実現する? (2025/1/22)
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
