CrowdStrike、Windowsブルスク問題の原因と対策を説明

[ITmedia]

　米CrowdStrikeは7月20日（現地時間）、同社のサービス更新が原因で世界同時多発的に発生したWindowsのブルースクリーン問題の発生原因と対策について公式ブログで説明した。

経緯

　19日午前4時9分にリリースしたWindowsシステムに対するセンサー構成の「チャンネルファイル」の更新（Falconプラットフォームの保護メカニズムに関するもの）によってロジックエラーが発生し、影響を受けるシステムでクラッシュとブルースクリーンが発生。

　クラッシュの原因となった更新は、19日午前5時27分に修正した。

　なお、こうしたセンサー構成の更新はこれまでも1日に数回実行されてきたものという。

影響を受けた環境

　更新リリース期間中オンラインだったWindows用FalconセンサーのVer.7.11以降を実行していた顧客が影響を受けた可能性がある。

クラッシュの原因

　原因となったチャンネルファイルは「291」という名称で、拡張子は「.sys」だがカーネルドライバーではない。

　今回の更新は、サイバー攻撃で一般的なC2フレームワークによって使われている、悪意のある名前付きパイプをターゲットにするよう設計されていたが、ロジックエラーが発生した。

　ロジックエラーは修正しており、その後291への追加更新は展開していない。

---

　CrowdStrikeは、「この問題がどのように発生したかは把握しており、徹底的な根本原因分析を行っている」とし、調査結果を更新していくとしている。

　Microsoftは同日、この問題の影響を受けたWindows PCは世界で850万台と推定した。