「死のブルースクリーン」で世界が大混乱　CrowdStrikeの障害から学ぶべきことは

　「BSoD」（死のブルースクリーン）は、WindowsOSで重大なエラーが発生して処理不能になったときに表示される画面を言う。そのBSoDが7月19日、世界を襲い、航空、金融、医療など重要インフラをはじめ、多くの企業システムに深刻な影響を与えた。原因はEDR（Endpoint Detection and Response）セキュリティのCrowdStrikeの製品で起こった障害だった。

原因は「CrowdStrike Falcon」のアップデートファイル

　障害の発生は7月19日協定世界時間（UTC）4時過ぎ。米国は未明、日本では夕方にあたる。

　Wall Street Journalによると、この日はBSoDによるシステムダウンでフライトの3400便、翌7月20日も2000便がキャンセルになった。中でも打撃を受けたのはDelta Air Linesで、7月20日の2000便の約半分が同社の便だった。

　一方で、米国の主要な航空会社でSouthwest Airlinesだけは影響を受けなかったとDigital Trendsなどが伝えている。これは同社のシステムが「Windows 3.1」を利用していて、“時代遅れ”だったのが幸いしたという。同様に物流のUPSとFedExも古いシステムのため無事だったという。

　原因は、その日のうちにCrowdStrikeの製品の障害であることが分かった。同社のエンドポイントセキュリティ「CrowdStrike Falcon」のWindows版更新ファイルで、Falconがセンサーの動作パターンを最適化する「Rapid Response Content」を更新したところ、ロジックエラーが発生したのだった。

　5日後の7月24日、CrowdStrikeは「Preliminary Post Incident Review（PIR）」として暫定調査結果を公表した。

　それによると、原因は「WindowsホストのFalconコンテンツ更新で見つかった欠陥」で、MacホストやLinuxホストには影響しなかった。また、セキュリティ攻撃やサイバー攻撃ではなかったことも強調している。

　経過としては、2月にリリースしたバージョン7.11で「InterProcess Communication（IPC）Template Type」を導入。3月に検証を通じて問題がないことを確認後、最初のインスタンスをリリースした。その後、4月に追加で3つの新たなインスタンスを配布して、いずれも問題なく機能していた。

　そうして迎えた7月19日、4時9分に先のアップデートを配信した。このアップデートは、3月に加えたインスタンスを使い、プロセス間通信手法である“名前付きパイプ”の活動を検出することを目的としていたものだった。こうしてIPC Template Typeインスタンスが2つ追加されたが、うち1つに問題があったのだという。Microsoftによると影響を受けたWindows PCは850万台にのぼる。

　クラウドセキュリティの歴史に残る大惨事は、アップデートの問題を事前に検知できなかったことで起こった。もう一つ重要なのは、「FalconがWindowsのカーネルで動作しているため、アップデートによるクラッシュでOSの頭脳も破壊された」（Wall Street Journal）ということだ。