CrowdStrikeの不具合アップデートが世界中のコンピューターをクラッシュさせた経緯

金曜日、2つのインターネットインフラ障害が相次ぎ、世界中の空港、鉄道システム、銀行、医療機関、ホテル、テレビ局などに混乱を引き起こしました。木曜日の夜には、マイクロソフトのクラウドプラットフォームAzureが広範囲にわたる障害に見舞われました。金曜日の朝には、セキュリティ企業CrowdStrikeが欠陥のあるソフトウェアアップデートをリリースしたことで、状況は一変し、Windowsコンピューターが壊滅的な再起動スパイラルに陥りました。マイクロソフトの広報担当者はWIREDに対し、これら2つのIT障害は無関係であると述べています。

少なくとも、これら2つの災害のうち1つの原因は明らかになりました。それは、CrowdStrikeの監視製品Falconのアップデートとしてリリースされたバグのあるコードです。Falconは基本的に、ノートパソコン、サーバー、ルーターなどの「エンドポイント」に深くアクセスしてマルウェアや不正侵入の兆候となる不審なアクティビティを検出するアンチウイルスプラットフォームです。CrowdStrikeは、新たな脅威や進化する脅威からシステムを守るために、常に検知機能を追加しているため、Falconは定期的に自動更新を行うための許可が必要です。しかし、この仕組みの欠点は、セキュリティと安定性を強化するはずのこのシステムが、かえってセキュリティと安定性を損なうリスクがあることです。

「これは史上最大の事例です。このような世界規模のワークステーション障害はかつてありませんでした」と、サイバーセキュリティ企業WithSecureの最高研究責任者、ミッコ・ヒッポネン氏は述べています。ヒッポネン氏によると、約10年前は、ワームやトロイの木馬の蔓延による大規模な障害がより一般的でした。最近では、世界的な障害はシステムの「サーバー側」で発生しており、Amazon Web Servicesなどのクラウドプロバイダー、インターネットケーブルの切断、認証やDNSの問題などが原因であることが多いとのことです。

クラウドストライクのCEO、ジョージ・カーツ氏は金曜日、これらの問題は同社がWindows向けにリリースしたコードの「欠陥」が原因だと述べた。MacとLinuxシステムは影響を受けていない。「問題は既に特定、隔離され、修正プログラムが配布済みです」とカーツ氏は声明で述べ、サイバー攻撃によるものではないと付け加えた。NBCのインタビューでカーツ氏は、今回の混乱について謝罪し、通常の状態に戻るまでにはしばらく時間がかかる可能性があると述べた。

CrowdStrikeは金曜日夜に公開した詳細なアップデートで、クラッシュの根本原因はFalconのアップデートとしてプッシュされた単一の設定ファイルだったとブログ記事で述べています。このアップデートは、Windowsの「名前付きパイプ」をFalconが検査する方法を変更することを主な目的としていました。名前付きパイプとは、ソフトウェアが同一マシン上のプロセス間、またはローカルネットワーク上の他のコンピュータ間でデータを送信できるようにする機能です。CrowdStrikeによると、この設定ファイルのアップデートは、ハッカーが被害者のマシン上のマルウェアとコマンド＆コントロールサーバー間の通信に使用している新しい手法をFalconが捕捉できるようにすることを目的としていました。「この設定アップデートによって論理エラーが発生し、オペレーティングシステムのクラッシュが発生しました」とブログ記事には記されています。

この大規模な障害の根本原因を追っていたセキュリティおよびITアナリストたちは当初、クラッシュの原因となったファイルがカーネルドライバーが使用するファイル拡張子「.sys」で終わっていたことから、CrowdStrikeのFalconソフトウェアの「カーネルドライバー」アップデートに関連しているのではないかと考えていました。カーネルドライバーは、アプリケーションがWindowsの最も深いレベル、つまりカーネルと呼ばれるオペレーティングシステムの中核と対話できるようにするソフトウェアコンポーネントです。この極めて機密性の高いアクセスレベルは、セキュリティソフトウェアにとって不可欠です。セキュリティソフトウェアは、システムに悪意のあるソフトウェアがインストールされる前に実行し、ハッカーがコードを埋め込もうとする可能性のあるシステムのあらゆる部分にアクセスできるようにする必要があります。マルウェアが改良・進化するにつれて、防御ソフトウェアは常時接続とより広範な制御を必要とするようになりました。

セキュリティ企業Magnet Forensicsの検出エンジニアリング責任者であるマシュー・シュイシュ氏は、アクセスが深くなると、セキュリティソフトウェアとそのアップデートによってシステム全体がクラッシュする可能性がはるかに高まると述べている。シュイシュ氏は、OSのカーネルレベルで悪意のあるコード検出ソフトウェアを実行することを「開胸手術」に例えている。

CrowdStrikeはブログ記事で、クラッシュを引き起こした構成ファイルは.sys拡張子で終わっていたものの、実際にはカーネルドライバーではなかったと指摘しています。しかし、構成ファイルがドライバーによって使用され、クラッシュを引き起こすような形で機能を変更したように見えると、ロシアのセキュリティソフトウェア企業Kasperskyに23年間勤務し、昨年退社するまで脅威インテリジェンスチームを率いていたコスティン・ライウ氏は述べています。ライウ氏によると、Kas​​persky在籍中、Windowsソフトウェアのドライバーアップデートは、リリース前に数週間かけて綿密に精査され、テストされていました。今回のケースでは、構成ファイルはそれほど精査されていないアップデートだったにもかかわらず、カーネルドライバーの機能を変更し、クラッシュを引き起こした可能性があるとライウ氏は示唆しています。「ドライバーには細心の注意が払われているにもかかわらず、このような事態が発生したことは驚くべきことです」とライウ氏は言います。「たった一つの単純なドライバーがすべてをダウンさせる可能性があります。まさに今回私たちが目撃したことです。」

マイクロソフトは、カーネルドライバーのアップデートについて開発者に承認を求めており、これには同社独自の慎重な検査プロセスが伴います。しかし、設定ファイルについては必ずしも承認を求めていません。マイクロソフトの広報担当者はWIREDに対し、「CrowdStrikeのアップデートが、世界中で多数のITシステムのダウンを引き起こした」と述べ、「マイクロソフトはCrowdStrikeが自社のシステムに加えるアップデートを監督していません」と付け加えました。

ライウ氏は、それでもなお、CrowdStrikeがWindowsのクラッシュを引き起こす唯一のセキュリティ企業ではないと付け加える。カスペル​​スキーのアップデートや、Windowsに標準搭載されているウイルス対策ソフトウェアであるWindows Defenderでさえ、過去に同様のブルースクリーン・オブ・デスのクラッシュを引き起こしたことがあると彼は指摘する。「地球上のあらゆるセキュリティソリューションが、CrowdStrikeのような事態に見舞われた経験がある」とライウ氏は語る。「今回の件は目新しいものではないが、その規模の大きさは計り知れない」

世界中のサイバーセキュリティ当局は、今回の混乱について警告を発しているものの、ハッカーによる悪意ある活動ではないと速やかに否定している。「NCSCは、これらの事象は悪意のあるサイバー攻撃によるものではないと評価しています」と、英国国立サイバーセキュリティセンター（NCSC）のCEO、フェリシティ・オズワルド氏は述べた。オーストラリア当局も同様の結論に達している。

それでもなお、その影響は広範囲かつ劇的なものとなっています。世界中で、企業、公共機関、ITチームが、再起動を含む一連の修正手順を手動で実行し、機能停止に陥ったマシンの修復に奔走する中、システム障害は拡大の一途を辿っています。英国、イスラエル、ドイツでは、医療機関や病院で患者とのコミュニケーションに使用しているシステムが混乱し、一部の予約がキャンセルされました。米国の911番通報サービスでも回線に支障が出ていると報告されています。システム障害発生直後には、英国のスカイニュースを含む一部のテレビ局がニュースの生放送を停止しました。

世界の航空旅行は、これまでのところ最も大きな影響を受けている分野の一つです。世界中の空港で長蛇の列ができ、インドのある空港では手書きの搭乗券が導入されました。米国では、デルタ航空、ユナイテッド航空、アメリカン航空が少なくとも一時的に全便の運航を停止し、米国上空の航空交通量が急減したことを示す劇的なグラフが描かれています。

この壊滅的な状況は、インターネットの脆弱性と深い相互接続性を反映している。多くのセキュリティ専門家はWIREDに対し、CrowdStrikeのように、悪意のある攻撃や人為的ミスによって防御ソフトウェア自体が連鎖的な障害を引き起こすシナリオを想定し、顧客と協力して対策を講じたと語った。「これは、私たちの世界規模のデジタル脆弱性と、インターネットの中核インフラの脆弱性を非常に力強く示しています」と、オックスフォード大学教授で英国国立サイバーセキュリティセンターの元所長であるキアラン・マーティン氏は述べている。

たった一度のアップデートでこれほど大規模な混乱を引き起こす能力に、ライウ氏はいまだに困惑している。市場調査会社ガートナーによると、CrowdStrikeはセキュリティソフトウェア市場の売上高の14%を占めており、同社のソフトウェアは幅広いシステムに導入されている。ライウ氏は、Falconのアップデートがウェブインフラの他の部分でもクラッシュを引き起こし、それが災害を倍増させたのではないかと示唆する。「CrowdStrikeは大規模ですが、これほど大規模なものにはなり得ません」とライウ氏は言う。「空港、重要インフラ、病院。CrowdStrikeだけがあらゆる場所で被害をもたらすはずがありません。複数の要因が重なり合い、連鎖反応を起こしているのではないかと考えています。」

WithSecureのヒッポネン氏は、問題はアップデートプロセスにおける「人為的ミス」が原因で発生したのではないかと「推測」している。「CrowdStrikeのエンジニアは、本当にひどい状況に陥っています」と彼は言う。ヒッポネン氏は、CrowdStrikeがテストしていたものとは異なるソフトウェアを出荷したか、ファイルを混同したか、あるいは複数の要因が組み合わさった可能性を示唆する。「このようなソフトウェアは徹底的なテストを経る必要があります」とヒッポネン氏は言う。「それが私たちのやり方です。もちろん、CrowdStrikeもそうです。出荷するソフトウェアには細心の注意を払う必要がありますが、セキュリティソフトウェアは頻繁にアップデートされるため、これは難しいことです。」

障害の影響の多くは現在も続いており、解明が進んでいませんが、問題の性質上、影響を受けた個々のマシンは自動プロセスではなく手動で再起動する必要がある可能性があります。「自動的に復旧できないシステムについては、復旧に時間がかかる可能性があります」と、CrowdStrikeのCEOであるKurtz氏はNBCに語りました。

同社が今回のインシデントに対処するための当初の「回避策」ガイダンスでは、Windowsマシンをセーフモードで起動し、特定のファイルを削除してから再起動するよう指示されています。「これまでの修正方法では、すべてのマシンを物理的に確認する必要があり、数日かかるでしょう。なぜなら、現在世界中で何百万台ものマシンで問題が発生しているからです」と、WithSecureのヒッポネン氏は述べています。

システム管理者が影響の抑制に奔走する中、同様の危機を再び起こさないようにするにはどうすればよいかという、より大きな存在に関わる問題が浮上している。

「人々は今、この運用モデルの変更を求めるかもしれません」と、サイバーセキュリティコンサルティング会社ハンター・ストラテジーの研究開発担当副社長、ジェイク・ウィリアムズ氏は語る。「良くも悪くも、クラウドストライクは、IT部門の介入なしにアップデートをプッシュし続けることがなぜ持続不可能なのかを証明したのです。」

2024 年 7 月 19 日午前 11 時 (東部標準時) 更新: Azure の停止と CrowdStrike の問題は無関係であるとする Microsoft からのコメントを追加しました。

2024 年 7 月 19 日午後 12 時 30 分更新: CrowdStrike の更新に対する Microsoft の監視不足に関する追加コメントを追加しました。

2024年7月19日午後3時45分更新：同社によると、Amazon Web ServicesはCrowdStrikeのアップデートの影響を受けなかったことを明確にするために更新されました。

2024年7月20日午前9時30分（東部標準時）更新：CrowdStrikeは金曜日の夜に公開した技術説明の中で、世界的なIT障害を引き起こした問題は、カーネルドライバーでも使用されている.sysファイル拡張子を使用する構成ファイルの問題であると説明しました。ただし、同社はカーネルドライバー自体の問題ではないと明言しました。新しい技術的詳細を記事に反映しました。