CrowdStrike障害が「Windowsマシンの1％未満」より深刻に見えたのはなぜか：世界的Windows障害について知っておくべきこと【中編】

CrowdStrike事件は、さまざまな領域の組織に影響を及ぼしただけでなく、企業のセキュリティを脅かす問題も引き起こした。どのような影響があったのか。

[Alex Scroxton，TechTarget]

　セキュリティベンダーCrowdStrikeのエンドポイントセキュリティツール「CrowdStrike Falcon」は、世界規模のシステム障害を引き起こした。原因はCrowdStrike Falconのセンサー（エージェントソフトウェア）に適用された、更新プログラム内の不具合だった。この問題はさまざまな業界に打撃を与えただけではなく、企業のセキュリティを脅かすある問題も引き起こした。

CrowdStrike障害が「Windowsマシンの1％未満」より深刻に見えた訳

併せて読みたいお薦め記事

連載：世界的Windows障害について知っておくべきこと

• 前編：「Windows死のブルースクリーン」で一躍有名になったCrowdStrikeの真相

CrowdStrike事件について詳しく

• CrowdStrikeが抱える「Windows障害850万台」の次の“深刻な問題”
• 「CrowdStrike事件」の真相　Windowsに迫る“新たな脅威”とは？

　CrowdStrike問題が引き起こした障害は、その影響や発端の面でサプライチェーン攻撃と共通する部分がある。だがCrowdStrikeの障害はサイバーセキュリティインシデントではなく、障害の結果攻撃を受けた被害者はいないという点には注意が必要だ。

　ただし、今回の問題はサイバーセキュリティ製品に影響するため、結果として生じるシステムのダウンタイムや保護の隙を突いて攻撃を仕掛けようとする攻撃者が現れると考えられる。事実、そうした攻撃が既に起き始めている。CrowdStrikeによるインシデントが明らかになってから数時間もしないうちに、悪意のあるZIPファイルが出回っていることを確認したと同社は発表した。このZIPファイルは、CrowdStrike Falconのセンサーに生じた問題の復旧に役立つツールを含むように見せかけているが、実際はマルウェアを含むという。

　英国、オーストラリア、シンガポール、米国など、複数の国家のサイバーセキュリティ機関は、今回のCrowdStrikeによる障害を受けて、サイバー攻撃に備えるよう勧告を発表した。

　障害発生後しばらくの期間、攻撃者はCrowdStrikeのインシデントを悪用し、フィッシング攻撃やソーシャルエンジニアリング（人の心理を操る詐欺）攻撃によって新たな被害者を生み出す可能性がある。攻撃者は、例えばテクニカルサポートの提供、同社が提供しているように見せかけた偽のアップデートなどを悪用する可能性がある。その結果、データ流出やランサムウェア（身代金要求型マルウェア）のシステム侵害、恐喝などが発生しかねない。

　Akamai Technologiesの研究者は、CrowdStrikeの問題を悪用する悪質なドメインが180件以上存在することを確認した。これらのドメインの大半は、「bsod」「microsoft」など、今回の障害に関する詳細情報に関連するキーワードをドメイン名に組み込んでいるという。中には悪質な大規模フィッシング活動に関係していることが知られているドメインもあり、こうしたドメインのWebサイトは技術サポート、修正プログラム、アップデート、集団訴訟に関する情報を提供するとうたっている。

　セキュリティ部門やIT部門の責任者および管理者は、今回のCrowdStrikeの問題後に起こり得る危険性を従業員に伝えておくことが賢明だ。CrowdStrikeが提供する情報とアップデートのみを信頼するようにしよう。

CrowdStrike障害の影響を受けた業界

　Microsoftによると、今回のインシデントは世界中で約850万台のWindows搭載デバイスに影響が及んだ。これは全Windows搭載デバイスの1％未満に相当するという。にもかかわらず、今回のインシデントの経済的かつ社会的影響がここまで広がったのは、重要な公共サービスを運営するさまざまな組織がCrowdStrike Falconを使っていることの現れだと言える。

　障害の影響を受けた組織の全容は明らかになっていないものの、以下の組織が何らかの影響を受けたか、影響を受けたと認めていることが分かっている。

• 航空会社
  • American Airlines、Delta Air Lines、KLM Royal Dutch Airlines、Lufthansa、Ryanair、United Airlinesなど。
• 空港
  • ロンドンガトウィック空港（London Gatwick Airport）、ロンドンルートン空港（London Luton Airport）、ロンドンスタンステッド空港（London Stansted Airport）、アムステルダムスキポール空港（Amsterdam Airport Schiphol）など。
• 金融機関
  • London Stock Exchange、Lloyds Bankなど。
• 一般開業医の診療所や個人開業薬局などの医療機関
• 小売業者、レジャー企業、ホスピタリティ組織
  • GAIL's Bakery、Ladbrokes、Morrisons、Tesco、Sainsbury’sなどの
• スポーツ団体
  • Mercedes-AMG PETRONASなどのF1チームが影響を受けた。中にはインシデント発生時、ハンガリーGPでのレースの準備を進めていたチームもあった。
• 列車運行会社
  • Avanti West Coast、Merseyrail、Southern Western Railway、Transport for Walesなど。

---

　次回は、問題を受けたCrowdStrikeおよびMicrosoftの対処と、ユーザー企業が取るべき対策を紹介する。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。