Microsoft Windows は、世界中で 10 億台以上の PC と数百万台のサーバーで利用されており、その多くは顧客に直接サービスを提供する施設で重要な役割を果たしています。では、信頼できるソフトウェア プロバイダーがアップデートを配信すると、それらの PC がすぐに動作しなくなるとどうなるでしょうか。
2024 年 7 月 19 日現在、その質問に対する答えはわかっています。混乱が起こります。
この場合、信頼できるソフトウェア開発会社はクラウドストライク・ホールディングスという会社で、同社は2016年に民主党全国委員会のサーバーがハッキングされた事件を分析したセキュリティ会社として有名だった。今ではそれは懐かしい思い出で、この会社は永遠に「ハッキングを引き起こした会社」として知られることになるだろう。 史上最大のIT障害航空機は着陸できず、一部の銀行システムへのアクセスが遮断され、主要な医療ネットワークが混乱し、少なくとも1つのニュースネットワークが放送停止となった。
マイクロソフトの推定 CrowdStrikeのアップデートは850万台のWindowsデバイスに影響を及ぼした。これは全世界のインストールベースからするとごくわずかな割合だが、マイクロソフトのエンタープライズおよびOSセキュリティ担当副社長であるデイビッド・ウェストン氏は「多くの重要なサービスを運営する企業によるCrowdStrikeの使用が、幅広い経済的・社会的影響を及ぼしていることを反映している」と指摘している。 ロイター通信の報道「フォーチュン500企業の半数以上と、米国の最高サイバーセキュリティ機関であるサイバーセキュリティ・インフラセキュリティ庁などの多くの政府機関が、同社のソフトウェアを使用しています。」
どうしたの?
外部からの攻撃からシステムを守るセキュリティソフトウェアを販売するクラウドストライクは、欠陥のある 「センサー設定の更新」 世界中の何百万台もの PC に Falcon Sensor ソフトウェアがインストールされている。CrowdStrike によると、このアップデートは「チャネル ファイル」であり、サイバー攻撃者による新たに観測された悪意のあるアクティビティを識別する機能を持つ。
アップデート ファイルは .sys 拡張子を持っていたが、それ自体はカーネル ドライバーではなかった。しかし、このファイルは、Windows カーネルと同じ空間で実行される Falcon センサー内の他のコンポーネントと通信する。Windows カーネルは、Windows PC の最高権限レベルであり、メモリやハードウェアと直接やり取りする。CrowdStrike によると、このコードの「論理エラー」が原因で、Windows PC とサーバーは起動後数秒以内にクラッシュし、俗に「ブルー スクリーン オブ デス」と呼ばれる STOP エラーが表示されるという。
また: マイクロソフトが Windows アップデートの提供方法を変更: 知っておくべき 4 つのこと
このような欠陥によるダメージを修復するのは、影響を受けるすべての PC を手動で Windows 回復環境で再起動し、旧式のコマンド ライン インターフェイスを使用して PC から欠陥のあるファイルを削除するという、非常に面倒なプロセスです。また、問題の PC のシステム ドライブが Microsoft の BitLocker 暗号化ソフトウェアで保護されている場合 (ほぼすべてのビジネス PC がそうであるように)、修復にはもう 1 つの追加手順が必要です。つまり、固有の 48 文字の BitLocker 回復キーを入力してドライブにアクセスし、欠陥のある CrowdStrike ドライバーを削除できるようにすることです。
CrowdStrike コードを使用する企業ネットワークで Windows PC を管理する仕事をしている人を知っているなら、その人は現在非常に忙しく、今後も忙しいだろうと確信できます。
この映画は以前にも見たことがある
この大惨事について初めて聞いたとき(この言葉を間違って使っているわけではありません、保証します)、聞き覚えがあると思いました。RedditのSysadmin Subredditで、ユーザーu/externedguyは 思い出したおそらくあなたは14年前のこの話を覚えているでしょう:
「McAfee の不完全なアップデートにより、XP PC が世界中でダウン。」
おっと、またやってしまった。
本日午前 6 時、マカフィーは企業顧客向けに、軽微な問題のあるウイルス対策定義のアップデートをリリースしました。ここで言う「軽微な問題」とは、技術サポートが来て手動で修復するまで PC が使えなくなるような問題です。本日 Twitter でコメントしたように、マカフィーが今日行ったような素早い方法で多数のマシンをシャットダウンさせるマルウェアを開発したウイルス作成者はいないと思います。
この事件では、マカフィーはWindows XP搭載のPCに欠陥のあるウイルス定義ファイル(DAT)を配布していた。そのファイルは、Windowsの重要なシステムファイルであるSvchost.exeをウイルスとして誤検出し、削除した。その結果、 現代のレポート、影響を受けるシステムは再起動ループに入り、 [lose] すべてのネットワークアクセス。」
2010 年の事件と今年の CrowdStrike の障害の類似点は驚くほどです。根本にあるのは、強力なソフトウェア エージェントを実行している何百万台もの PC にプッシュされた欠陥のあるアップデートで、影響を受けたデバイスは動作を停止しました。回復には、すべてのデバイスで手動による介入が必要でした。そして、欠陥のあるコードは、厳しい競争の市場で必死に成長しようとしている上場企業によってプッシュされました。
マカフィーにとってタイミングは特に不運だった。インテルは マカフィー社を76億8000万ドルで買収する意向を発表 欠陥のある DAT ファイルは 2 日後の 4 月 21 日にリリースされました。
2010 年の McAfee の失態は大事件となり、Fortune 500 企業 (Intel を含む) だけでなく、世界中の大学や政府/軍事施設にも打撃を与えました。オーストラリア最大の食料品チェーンのレジの 10% がオフラインになり、14 ~ 18 店舗が閉鎖を余儀なくされました。
また: 2025年にWindows 10 PCを救う5つの方法 – ほとんどが無料
そして、これは作り話ではない…CrowdStrike の創設者兼 CEO である George Kurtz 氏は、2010 年の事件発生当時、McAfee の最高技術責任者だった。
2024年の続編がさらにひどいのは、MicrosoftのAzureやAmazonのAWS上のクラウドで稼働しているWindowsベースのサーバーにも影響が及んだことだ。そして、この欠陥のあるアップデートによって動かなくなった多くのノートパソコンやデスクトップPCと同様に、クラウドベースのサーバーを復旧するには時間のかかる手動介入が必要だ。
CrowdStrikeのQAは失敗
驚くべきことに、これは今年 CrowdStrike が行った最初の欠陥のある Falcon Sensor アップデートではありません。
1か月も経たないうちに、 ザ・スタックのレポートによるとCrowdStrike は、Falcon センサーの検出ロジック アップデートをリリースしましたが、このアップデートにより、センサーのメモリ スキャン機能のバグが明らかになりました。「このバグの結果、CsFalconService にロジック エラーが発生し、Windows 用の Falcon センサーが 1 つの CPU コアを 100% 消費する可能性があります」と CrowdStrike は顧客向けアドバイザリに記しています。同社はアップデートをロールバックし、顧客は再起動することで通常の操作を再開できるようになりました。
また: Windows 10 のサポートが終了すると、5 つのオプションがありますが、検討する価値があるのは 2 つだけです。
当時、コンピュータセキュリティの専門家ウィル・トーマス X/Twitterで指摘、”[T]これは、新しい更新プログラムを全マシンに展開する前に、まず 1 台のマシンにダウンロードしてテストすることがいかに重要であるかを示しています。」
2010年の事件の根本的な原因は QAプロセスの完全な内訳ここでも同様の QA の失敗が起こっていることは明らかです。これら 2 つの CrowdStrike アップデートは、何百万台ものデバイスにプッシュされる前にテストされなかったのでしょうか?
問題の一部は、強気な発言が続く企業文化にあるかもしれない。CrowdStrike の最近の収益報告会で、CEO の George Kurtz 氏は、特に Microsoft を標的に、同社の「革新的な製品を迅速に出荷する」能力を自慢した。
さらに最近では、CIS のサイバー セーフティ レビュー ボードの調査結果で Microsoft の重大な侵害がまたもや発覚したことを受けて、市場から支援を求める声が殺到しました。Microsoft のセキュリティ カスタマー ベースのセキュリティ チームと IT チームの間で信頼の危機が広がっているため、これ以上は我慢できないと判断しました。
[…]
フィードバックは圧倒的に好意的です。CISA は、Microsoft 製品とクラウド サービスのみを使用することでモノカルチャー リスクを軽減できるようになりました。当社のイノベーションは猛烈な勢いで進み、市場が Falcon に統合する理由が増えています。何千もの組織が Falcon プラットフォームに統合しています。
最近の出来事を考えると、顧客の中には、この「猛烈なペース」が問題の一部なのではないかと疑問に思う人もいるかもしれない。
マイクロソフトはどの程度の責任を負わなければならないのか?
Microsoft を完全に免責することは不可能です。結局のところ、Falcon センサーの問題は Windows PC に特有のものであり、Linux や Mac を専門とするショップの管理者がすぐに私たちに思い出させてくれました。
部分的には、これはアーキテクチャの問題です。セキュリティ ソフトウェアを含む Windows 用のシステム レベル アプリの開発者は、これまでカーネル拡張機能とドライバーを使用して機能を実装してきました。この例が示すように、カーネル空間で実行される欠陥のあるコードは回復不可能なクラッシュを引き起こす可能性がありますが、ユーザー空間で実行されるコードはそうではありません。
また: Windows 11 の煩わしさを軽減する 7 つの方法
かつてはMacOSでもそうでしたが、2020年にMacOS 11でAppleは主力OSのアーキテクチャを変更しました。 カーネル拡張機能の使用は強く推奨しない代わりに、開発者はカーネルレベルではなくユーザー空間で実行されるシステム拡張機能を作成することが推奨されています。MacOSでは、CrowdStrike Appleのエンドポイントセキュリティフレームワークを使用 そして、その設計を使用することで、「Falcon は、ユーザー スペース センサーのみを介して、同じレベルの可視性、検出、保護を実現します」と述べています。
Microsoft は Windows に同様の変更を加えることができるだろうか? おそらくそうだろう。しかし、そうすると、特にヨーロッパの独占禁止規制当局の怒りを買うことになるだろう。Microsoft は利益率の高いエンタープライズ セキュリティ ビジネスを展開しているため、この問題は特に深刻であり、CrowdStrike のような競合他社にとって困難となるようなアーキテクチャの変更は、当然ながら反競争的と見なされるだろう。
マイクロソフトは現在 Microsoft Defender for Endpoint の API を提供しますしかし、競合他社はおそらくそれらを使用しません。彼らはむしろ、自社のソフトウェアの方が優れていると主張したいので、Microsoft の「劣った」製品を使用することを顧客に説明するのは難しいでしょう。
しかし、数十億ドル相当の損害を引き起こしたこの事件は、IT コミュニティ全体にとって警鐘となるはずです。少なくとも、CrowdStrike はテストを強化する必要があります。また、顧客は、この種のコードを自らテストせずに自社のネットワークに導入することに対して、より慎重になる必要があります。
