目次

  1. クラウドストライク(CrowdStrike)とは
  2. ブルースクリーンの多発経緯 ファルコンの更新から
  3. システム障害の原因 チャネルファイルにバグ
  4. クラウドストライク、根本原因分析(RCA)を公表
  5. システム障害からの復旧方法 マイクロソフトが案内

 クラウドストライクの公式サイトによると、クラウドストライクとは、2011年創業のサイバーセキュリティ企業で、急成長し、今やアメリカを中心に世界中の業務用パソコンで導入されています。

 都度、パターンファイルを更新して常に最新の状態に保つ必要のあるアンチウィルスソフトとは違い、エンドポイントでの検知と対応(EDR)により、PCやスマートフォン、サーバーなどでの不審な挙動を検知して素早い対応を支援するという考え方が基本となっています。

 今回のシステム障害の原因となったクラウドストライクのセキュリティソフト「ファルコン(Falcon)」は、異常な動作や脆弱性を特定し、マルウェアなどの脅威からコンピュータシステムを保護する機能を持っていました。

 クラウドストライクによると、7月29日時点でWindowsパソコンの約99%が復旧したといいます。

 クラウドストライクの公式ブログによると、日本時間で2024年7月19日13時9分にアップデートされた、ファルコンの更新が原因であり、サイバー攻撃ではないことを公表しました。影響を受けたのは、Windows端末のみで、MacやLinuxには影響が出ませんでした。

 アップデートにより、ロジックエラーが発生し、システムクラッシュとブルースクリーン(BSOD)が世界中で多発しました。

 マイクロソフトの公式ブログによると、クラウドストライクのアップデートが影響を受けたのは、850万台のWindows端末に上ると推計。全Windows端末の1%未満だといいます。

 システムクラッシュの原因となったアップデートは、2024年7月19日14時27分に修正されましたが、この間、オンラインで、Falconセンサーfor Windows バージョン7.11以降を稼働させていた利用者は、影響を受けた可能性があるといいます。

 クラウドストライクの修正プログラムは、影響を受けた個別の端末に対応する必要があるため、復旧には時間がかかる場合もあります。

 クラウドストライクによると、今回の障害の引き金となったのはC:\Windows\System32\drivers\CrowdStrike\のディレクトリ配下にある「チャネルファイル」です。拡張子は.sysですが、動作保護メカニズムの一部であり「(システムの中核となる)カーネルドライバーではない」と説明しています。

 セキュリティへの脅威となる戦術・技術・手法に対応すべく、1日に数回、チャネルファイルを更新しており、今回の障害の原因となったファイルには、ブルースクリーンを引き起こすバグが含まれていました。

 そのため、ファルコンがWindowsのカーネルドライバーと適切に通信できなくなりました。通常であれば、前のバージョンに自動的にロールバックする仕組みがありますが、今回はこの機能も正しく動作しなかったといいます。

 クラウドストライクは公式ブログを更新し、さらに原因に言及しています。問題のあるコンテンツデータが含まれていたにもかかわらず、事前テストでバグを発見できないまま本番環境に反映された結果、「Windows」でメモリー境界外読み取りが発生し、システムクラッシュを引き起こし、ブルースクリーンを引き起こしたのだといいます。

 クラウドストライクの公式サイトで8月6日(米国時間)、根本原因分析(RCA)レポートが公表されました。

 レポートによると、Windows版Falcon Sensor向けの「チャネルファイル291」はWindowsのプロセス間通信(IPC)を悪用するサイバー攻撃を検知するために2024年2月に導入されました。

 しかし、7月19日に配信された更新プログラムにはエラーが含まれていました。このエラーとは、プログラムが元々想定していたよりも多い入力フィールドを参照するよう指示していたものです。この不一致により領域外メモリの読み取りが発生し、システムがクラッシュしたといいます。

 クラウドストライクは、同じような問題が起きないよう問題のあった手順を抽出し、更新プログラムの手続きの見直しを進めています。

 システム障害からの復旧方法をマイクロソフトが案内しています。いくつかの方法がありますので、状況に応じて使い分けてください。

セーフモードでファイルを削除する

 マイクロソフトの公式ブログでは、Windows11の場合を例に以下の手順で解決策が案内されています。

  1. 電源ボタンを10秒間押し続けてデバイスの電源をオフにしてから、もう一度電源ボタンを押してデバイスの電源を入れます。
  2. Windows サインイン画面で、Shift キーを押しながら [電源>再起動] を選択します。
  3. デバイスが再起動して [オプションの選択] 画面が表示されたら、[トラブルシューティング] を選択します。
  4. [トラブルシューティング] 画面で、[スタートアップ設定] > [詳細オプション] > [セーフ モードを有効にする] を選択します。
  5. デバイスを再起動します。注: BitLocker 回復キーの入力を求められる場合があります。デバイスが再起動したら、F4を押し続けると、セーフモードにログインします。一部のデバイスでは、F11を押してセーフモードでログインする必要があることに注意してください。
  6. セーフモードになったら、[スタート]を右クリックし、[ファイル名を指定して実行]をクリックして、[名前]ボックスに「cmd」と入力して、[OK]をクリックします。
  7. システム ドライブが C:\ と異なる場合は、「C:」と入力し、Enter キーを押します。これにより、C:\ドライブに切り替わります。
  8. 次のコマンドを入力し、Enter キーを押します。CD C:\Windows\System32\drivers\CrowdStrike
  9. CrowdStrike ディレクトリで、「C-00000291*.sys」に一致するファイルを見つけます。次のコマンドを入力し、Enter キーを押します。dir C-00000291*.sys
  10. 見つかったファイルを完全に削除します。次のコマンドを入力し、Enter キーを押します。del C-00000291*.sys
  11. 「C-00000291*.sys」に一致するファイルを手動で検索して削除します。
    デバイスを再起動します。

 BitLockerで暗号化されたホストには、回復キーが必要な場合があります。

リカバリツールの作成

 マイクロソフトの公式サイトによると、IT管理者が修復プロセスを迅速化するのに役立つリカバリツールを Microsoftダウンロードセンターからダウンロードできるようにしたといいます。Windows PE から回復する方法と、セーフモードから回復する方法の2通りがあります。

 リカバリツールを作成するための前提条件として、以下の機能を備えたUSBドライブが必要です。

  • 8GB以上の空き容量を備えた64bit版Windows PC
  • Windowsの管理者権限
  • 1GB以上の空き容量を備えたフォーマット済みUSBメモリ

※復旧手順の表記に一部誤りがあり修正しました。