Infostand海外ITトピックス
「死のブルースクリーン」で世界が大混乱 CrowdStrikeの障害から学ぶべきことは
2024年7月29日 11:19
「BSoD」(死のブルースクリーン)は、WindowsOSで重大なエラーが発生して処理不能になったときに表示される画面を言う。そのBSoDが7月19日、世界を襲い、航空、金融、医療など重要インフラをはじめ、多くの企業システムに深刻な影響を与えた。原因はEDR(Endpoint Detection and Response)セキュリティのCrowdStrikeの製品で起こった障害だった。
原因は「CrowdStrike Falcon」のアップデートファイル
障害の発生は7月19日協定世界時間(UTC)4時過ぎ。米国は未明、日本では夕方にあたる。
Wall Street Journalによると、この日はBSoDによるシステムダウンでフライトの3400便、翌7月20日も2000便がキャンセルになった。中でも打撃を受けたのはDelta Air Linesで、7月20日の2000便の約半分が同社の便だった。
一方で、米国の主要な航空会社でSouthwest Airlinesだけは影響を受けなかったとDigital Trendsなどが伝えている。これは同社のシステムが「Windows 3.1」を利用していて、“時代遅れ”だったのが幸いしたという。同様に物流のUPSとFedExも古いシステムのため無事だったという。
原因は、その日のうちにCrowdStrikeの製品の障害であることが分かった。同社のエンドポイントセキュリティ「CrowdStrike Falcon」のWindows版更新ファイルで、Falconがセンサーの動作パターンを最適化する「Rapid Response Content」を更新したところ、ロジックエラーが発生したのだった。
5日後の7月24日、CrowdStrikeは「Preliminary Post Incident Review(PIR)」として暫定調査結果を公表した。
それによると、原因は「WindowsホストのFalconコンテンツ更新で見つかった欠陥」で、MacホストやLinuxホストには影響しなかった。また、セキュリティ攻撃やサイバー攻撃ではなかったことも強調している。
経過としては、2月にリリースしたバージョン7.11で「InterProcess Communication(IPC)Template Type」を導入。3月に検証を通じて問題がないことを確認後、最初のインスタンスをリリースした。その後、4月に追加で3つの新たなインスタンスを配布して、いずれも問題なく機能していた。
そうして迎えた7月19日、4時9分に先のアップデートを配信した。このアップデートは、3月に加えたインスタンスを使い、プロセス間通信手法である“名前付きパイプ”の活動を検出することを目的としていたものだった。こうしてIPC Template Typeインスタンスが2つ追加されたが、うち1つに問題があったのだという。Microsoftによると影響を受けたWindows PCは850万台にのぼる。
クラウドセキュリティの歴史に残る大惨事は、アップデートの問題を事前に検知できなかったことで起こった。もう一つ重要なのは、「FalconがWindowsのカーネルで動作しているため、アップデートによるクラッシュでOSの頭脳も破壊された」(Wall Street Journal)ということだ。