世界規模で起きたWindowsブルスク問題 MicrosoftとCrowdStrikeが支援策公表：セキュリティニュースアラート

2024年7月19日に全世界的に「Windows」のPCでブルースクリーンが表示される大規模障害が発生した件について、MicrosoftとCrowdstrikeがインシデントの原因や対応策を公開した。

[田渕聖人，ITmedia]

　Microsoftは2024年7月20日（現地時間、以下同）、同年7月19日に全世界的に「Windows」のPCでブルースクリーンが表示される大規模障害が発生した件について、詳細を公開した。

　なお、セキュリティ企業CrowdStrikeによると今回の障害は、同社が提供する「CrowdStrike Falcon」プラットフォームのコンテンツアップデートで見つかった欠陥が原因だとされており、特定のWindowsホストのみが対象となり「macOS」および「Linux」ホストは影響を受けないとされている。

Windowsの大規模障害に対し、Microsoftが対応策を公表

　Microsoftは同事象が明らかになってから、顧客やCrowdStrike、外部の開発者と継続的にコミュニケーションを取り、情報収集と迅速な解決策の検討を進めており、以下の対策を講じたとしている。

• CrowdStrikeと協力してソリューションの開発作業を自動化した。CrowdStrikeはこの問題に対処するための回避策を推奨し、公式声明を発表している。Windowsエンドポイントで状況を改善するための手順は、Windowsメッセージセンターに掲載されている
• 数百人のMicrosoftのエンジニアと専門家を派遣し、顧客と直接連携してサービスを復旧する
• Google Cloud PlatformやAmazon Web Servicesなどのクラウドプロバイダーや関係者と連携し、業界全体でそれぞれが目にしている影響の状態についての認識を共有し、CrowdStrikeや顧客との継続的な会話に情報を提供する
• 「Azure ステータス ダッシュボード」を通じて、インシデントの最新ステータスを顧客に通知する

　この他、Microsoftは同問題に対する解決策として手動修復ドキュメントとスクリプトを公開している。

　Microsoftによると、今回の障害によって850万台のWindowsデバイスが影響を受けたと推定されており、これは全てのWindowsマシンの1％未満だという。同社は24時間体制で作業し、引き続きアップデートとサポートを提供するとしている。

CrowdStrikeも公式声明で同障害について謝罪

　同障害については、CrowdStrikeからも公式声明が発表されている。原因についてはCrowdStrike Falconプラットフォームのエージェントアプリ「Falcon Sensor」に含まれるドライバー「csagent.sys」の不具合だと報告されている。CrowdStrikeは原因特定後、csagent.sysに適用した変更を元に戻した。

　CrowdStrikeは公式声明の中で、「タイムスタンプが2024-07-19 0527 UTC以降のチャネルファイル『C-00000291*.sys』が、元に戻された（正常な）バージョンです。タイムスタンプが2024-07-19 0409 UTCのチャネルファイル『C-00000291*.sys』が問題のあるバージョンです」と説明している。

　同社によると現在、CrowdStrike Falconプラットフォームは正常に動作している。システムが正常に動作している場合は、Falcon Sensorがインストールされていても保護に影響はなく、MDR「Falcon Complete」や脅威ハンティング「Overwatch」といった関連サービスはこのインシデントによって中断されることはないとされている。

　この他、CrowdStrikeは公式声明の中で、影響を受けるホストを特定する方法や影響を受けたホストを修復する手順、「Bitlocker」キーを回復する方法、クラウドベースの環境リソースを回復する方法、サードパーティーベンダーの情報などを公開しているため併せて確認するのが望ましい。

　CrowdStrikeのジョージ・カーツ氏（創設者兼CEO）は「本日の障害について、皆さまに直接心よりおわび申し上げます。CrowdStrikeの全員が、この状況の重大性と影響を理解しています。当社は問題を迅速に特定し、修正プログラムを適用し、最優先事項としてお客さまのシステムの復旧に全力で取り組むことができました」と謝罪文を公開した。

　「CrowdStrikeはお客さまとそのチームを支援するために全力を尽くしています。ご質問がある場合や追加のサポートが必要な場合は、CrowdStrikeの担当者またはテクニカルサポートにお問い合わせください。敵対者や悪意のある人物がこのようなイベントを悪用しようとすることは分かっています。皆さまは警戒を怠らず、CrowdStrikeの公式担当者と連絡を取るようにしてください。弊社のブログとテクニカル サポートは、今後も引き続き最新情報の公式チャネルとなります」（カーツ氏）

各ベンダーの反応

　今回の大規模障害を受けて各ベンダーからもコメントが発表された。

　Tenableのサットナム・ナラン氏（シニアスタッフリサーチエンジニア）は「この障害は世界中のコンピュータシステムに影響を及ぼしており、深刻です。病院や空港、金融機関といった、特に重要なシステムに影響が出ています。例えば、患者さんが病院で薬を受け取ることができないという事態が発生しています。私にも、身近に現在入院中の人がいるので、私個人にも影響が出ています。この問題はWindowsシステムに関連したものですが、Microsoft Windowsの問題ではなく、世界中の何百万台ものWindowsコンピュータにインストールされているセキュリティソフトウェアの問題とみられています。セキュリティソフトウェアであるため、基礎となるOSに対してより高いレベルの特権が求められます。そのため、セキュリティアップデートの不備や欠陥が致命的な影響をもたらす可能性があります。今回の出来事は前例がなく、その影響は未知数といえます」とコメントした。

　また、WithSecureのミッコ・ヒッポネン氏（主席研究員《CRO》）は「今日起こった障害は歴史的な規模のものとなりました。通常、大規模な障害が発生する場合はサーバ側かクラウド、あるいはケーブルの切断が原因であることが多いのですが、今回はワークステーション側です。このようなことはほとんど起こらないか、起こったとしてもWannaCryやNotPetyaのようなサイバー攻撃です。マシンを保護し稼働させ続けるために構築されたシステムが逆にマシンをダウンさせるというのは皮肉な話だと言えます。この障害の原因はCrowdStrikeからのドライバアップデートのバグによるものです。このドライバは10日前に作られたもので、テストされずに配布されたことは疑問の余地がありません。もともとアップデートしようとしているマシンがクラッシュし続けてしまうので、修正には時間がかかるようです」と述べた。