Microsoft、CrowdStrikeの障害とWindowsのセキュリティベストプラクティスを解説：セキュリティニュースアラート

Microsoftは最近のCrowdStrikeのアップデート障害に起因するWindowsのブルースクリーン問題を解析し、Windowsセキュリティツールの管理および今後の対応を紹介した。

[後藤大地，有限会社オングス]

　Microsoftは2024年7月27日（現地時間）、「Windows」のセキュリティに関するベストプラクティスを紹介するブログ記事を公開した。このブログでは「CrowdStrike」のアップデート障害に起因するWindowsのブルースクリーン問題が検証されており、Windowsの現在のセキュリティツールの管理および今後の対応について説明している。

CrowdStrike障害の教訓を生かせ　Windowsのセキュリティ対策

　CrowdStrikeによるWindowsの障害は「CSagent.sys」ドライバーのメモリ安全性の問題、特に読み取り範囲外アクセス違反に起因することが判明している。この障害の分析にはMicrosoftのWinDBGカーネルデバッガーおよび誰でも無料で利用可能な幾つかの拡張機能が活用されている。

　CSagent.sysはファイル操作の通知を受信し、マルウェア対策のために使用されているファイルシステムフィルタードライバーだ。CrowdStrikeはこのドライバーを活用し、ディスクに保存される新しいファイルのスキャンを実行している。

　多くのセキュリティベンダーは、システム全体の可視性を確保するためにカーネルドライバーを利用している。カーネルドライバーはブート初期にロードされるため、ルートキットなどの脅威を検出することが可能だ。特にネットワークアクティビティーの分析やデータ収集において有効であるとされ、カーネルモードで動作することにより、改ざん防止機能が強化され、ソフトウェアの無効化を防げる。

　しかしカーネルレベルでの操作はリカバリー機能が制限されるため、広範な検証が必要とされている。今回のCrowdStrikeの障害は、セキュリティベンダーがカーネルドライバーの利用における可視性や改ざん防止機能とシステム安定性のバランスを取る必要性を浮き彫りにした。

　Microsoftはサードパーティーセキュリティベンダーとの協力を強化し、Microsoftウイルスイニシアチブ（MVI）を通じてセキュリティエコシステムの改善を図っている。MVIはセキュリティ製品を通じてWindowsプラットフォームの使用の堅牢（けんろう）性を向上させることを目的に作成された業界フォーラムで、セキュリティ製品の品質向上に貢献している。また、「Windows Hardware Quality Labs」によって署名された全てのドライバーは厳格なテストを通過する必要があるとされ、広範なリリースに必要な品質基準を満たしていることが確認されている。

　Microsoftは今後の対応としてマルウェア対策エコシステムと連携し、統合機能を活用してセキュリティと信頼性を向上させる予定であることを伝えている。具体的にはセキュリティ製品の更新を安全に実行するためのガイダンスやテクノロジーの提供、カーネルドライバーによる重要なセキュリティデータへのアクセスの軽減、VBSエンクレーブなどのテクノロジーを活用した強化された分離機能と改ざん防止機能の提供、高整合性証明などのゼロトラストアプローチの有効化などを実施するとしている。

　今回のCrowdStrikeの障害を教訓にWindowsはセキュリティのベストプラクティスを積極的に共有し、顧客やパートナーと協力して新しいセキュリティ機能の開発を進める方針を示している。