CrowdStrikeの“歴史的なインシデント”から何を学ぶべきか?:半径300メートルのIT
CrowdStrikeのセキュリティ製品に起因する大規模インシデントから約1週間が経過し、事態の全容が徐々に明らかになってきました。今回は筆者が感じたこの事件における教訓とユーザーができることをお伝えします。
日本時間の2024年7月19日お昼頃、セキュリティソフト「CrowdStrike Falcon」プラットフォームのエージェントアプリ「Falcon Sensor」の不具合に起因する大規模なインシデントが発生しました。この影響によって、空港でのデジタルサイネージや自動販売機などで使われている「Windows」のPCでブルースクリーンが表示され、SNSで大きな話題になりました。
それから約1週間が経過し、ひとまずの回避策が発表されるとともに、その原因も明らかになりつつあります。
これは個人的には歴史に残るレベルの大変な事故だと感じていますが、これが何らかの“攻撃”ではなかったことには安心しています。
この事象については、マクニカが詳細かつタイムリーな情報を提供しています。改訂履歴の時間を見ると、顧客対応に真摯(しんし)な姿が見て取れるはずです。日本のシステムインテグレーターは本当に優秀ですね。
この他、Microsoftからもこの問題の支援が発表されています。
インシデントから1週間たった今、この事件をどう受けとめるべきか?
今回の事件は、世界規模で大きな影響が出ました。印象としては2017年5月に発生したランサムウェア「WannaCry」の流行を思い出します。個人的には、CrowdStrikeのシェアがここまで大きいのかと驚きました。この他、いわゆるIoT領域でもブルースクリーンが出ていたことで、そこまでしっかりとセキュリティ対策が進んでいるという意味では、EDR(Endpoint Detection and Response)製品が各業界や幅広い企業規模に受け入れられているのだと実感しました。
筆者は、上記を踏まえてこの事件を機に、セキュリティ担当者以外の人々の間でもEDRの認知が進むかもしれないと思いました。また、EDR(およびEPP)は、悪意ある挙動を把握し、検知するためにOSの根幹に近い部分で動作するため、もしこれが不具合を起こせば今回のようなブルースクリーンが発生する原因になることにも注目が集まったと思います。
上記の挙動上、「セキュリティのためのソフトウェアがシステムを停止する」という皮肉な事態が起きるのはある意味仕方がないのかもしれませんが、システムを運用する上では避けては通れない課題であることも確かです。
今回はCrowdStrikeのソリューションが原因になりましたが、他のセキュリティベンダーの製品では絶対に発生しないとは言い切れないでしょう。恐らく多くのベンダーが、この事態を“ジブンゴト”として捉えているのではないかと思います。
利用者にできることはあるか?
今回の事象は、利用者レベルでは被害を防げない難しい問題でした。それだけに、セキュリティベンダーには品質保証のためのステップをきっちりと見直し、少なくともテストで排除できる障害はゼロにしてほしいと願っています。今回のように障害が発生したときに、正しいタイミングで適切な情報が公開されることにも期待しています。その意味では、CrowdStrikeやMicrosoftも適切に対応していた印象を持ちました。
ではユーザーができることはないのでしょうか。筆者が思うに、それは「適切な情報公開」を待つことです。今回の障害は世界規模であったため、攻撃者もそのどさくさに紛れ、周辺でさまざまな攻撃を実行していました。CrowdStrikeも同障害に合わせた攻撃キャンペーンを観測しています。
加えて「悪意なき情報提供」というのも大きな課題です。ちょうど日本では週末の午後にこの障害が発生したことで、たくさんの方がCrowdStrikeよりも先に対処方法をガイドしていました。しかし、この情報をうのみにするのは若干危険をはらんでいます。
特に今回は、主に法人向け製品における障害だったため、個人端末ではほぼ影響を受けていません。つまり、法人組織の中にある、管理された端末に対して、個人が判断して操作することは大変危険です。今後も同様の障害が発生したときには、組織の端末は必ず組織の指示に従うようにしてください。一瞬でも保護が外れるような状態を作ってしまうことこそが、攻撃者の狙いである可能性もあるからです。
個人的には、この事象によってIoT機器を含む小さなサービスすらもEDRで保護されていたことを知るとともに、レジを含むシステムが停止したとき、手作業で事業を継続しようとしていた組織があったことに衝撃を受けました。大阪のユニバーサル・スタジオ・ジャパンで大規模な障害が発生した直後、多言語でレジが止まっていることを伝える紙をクルーたちが提示していたこと、そして販売が完全に停止したレストランが無償で冷水を配布していた様子がSNSで流れてきていました。
ランサムウェア攻撃による事業停止が相次いでいますが、その対策にもつながる重要な視点があったように思えます。経営者はそれを現場の工夫に任せるだけでなく、今回の障害を教訓として事業継続のための整備ができているかをいま一度確認してみてはいかがでしょうか。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 「ITmedia Security Week 2024夏」開催 最新セキュリティ事情を学ぼう
「ITmedia Security Week 2024夏」ではセキュリティ担当者に向けて、複数のセキュリティ領域にまたがって課題解決のヒントを紹介します。 - 世界規模で起きたWindowsブルスク問題 MicrosoftとCrowdstrikeが支援策公表
2024年7月19日に全世界的に「Windows」のPCでブルースクリーンが表示される大規模障害が発生した件について、MicrosoftとCrowdstrikeがインシデントの原因や対応策を公開した。 - 「サイバー攻撃はお金がかかる」 当たり前の結論から見えた新たな気付き
JNSAが「サイバー攻撃を受けるとお金がかかる〜インシデント損害額調査レポートから考えるサイバー攻撃の被害額〜」というストレートなタイトルの資料を公開しました。この資料から企業が次にやるべきことが見えてきました。 - 「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。
関連リンク
- Preliminary Post Incident Review (PIR): Content Configuration Update Impacting the Falcon Sensor and the Windows Operating System (BSOD)
- Preliminary Post Incident Reviewのエグゼクティブサマリー
- CrowdStrike社のセキュリティソフトに起因するWindowsのシステム障害(BSOD)について(マクニカ)
- CrowdStrike の障害の影響を受けたお客様への支援について - News Center Japan
- Likely eCrime Actor Capitalizing on Falcon Sensor Issues | CrowdStrike