CrowdStrikeのWindows停止事件 どのような経緯をたどったのか
CrowdStrikeのソフトウェアアップデートに欠陥があったため、世界中のWindowsが影響を受けた。問題が発生した直後には何が起こったのだろうか。振り返ってみよう。
サイバーセキュリティ企業のCrowdStrikeが、2024年7月22日に米証券取引委員会(SEC)に提出した書類によると(注1)、同社の欠陥のあるアップデートは78分間実行されたことが分かった。同社が2024年7月19日に配布した欠陥のあるソフトウェアアップデートは、瞬く間に世界中のITネットワークを機能不全に陥れた(注2)。
「Falcon」のアップデートによる混乱
CrowdStrikeがSECに提出した書類によると、同社のセンサーソフトウェア「Falcon」の設定に関するアップデートは、米国東部時間の真夜中過ぎ、2024年7月19日の午前4時9分にリリースされたという。同社は「問題を特定後、隔離し、7月19日午前5時27分にアップデートを元に戻した」ことになる。これで問題は解決したのだろうか。
CrowdStrikeは「特定のWindowsシステムを使用している顧客に起こった障害はサイバー攻撃の結果ではない」と繰り返し、同社のブログで公開された修復情報と更新を公開した(注3)。同社は、「Windows」バージョン7.11以降で「Falcon」を実行中のシステムにおいて、78分の間に更新された構成をダウンロードした場合、「システムクラッシュのリスクがあった」と述べた。
アップデートを公開してからわずか1時間後に、CrowdStrikeはアップデートを取り下げた。だが、特定のWindowsシステムで再起動が繰り返されたり、「死のブルースクリーン」が表示されたりした。それらのシステムを使っていた顧客にとって、CrowdStrikeによるアップデートの撤回はダメージを受けた後の出来事であり、遅すぎた。
Microsoftによると、CrowdStrikeのアップデートが影響を与えたWindowsデバイスは推定850万台だ(注4)。これはWindowsマシン全体の1%にも満たないものの、被害が大きかったことは確かだ。
現在のクラウドベースのソフトウェアは、CI/CD(継続的なインテグレーション・継続的なデリバリー)という手法に従って自動的に展開される。つまり、随時ソフトウェアのアップデートを開発し、その後、多数の顧客に一斉に大規模に展開される。
CrowdStrikeの製品説明によると、「Falcon」はクラウドネイティブアーキテクチャと、CI/CDパイプラインにおける自動化されたツールとプロセスのセットで動作する。典型的なCI/CDと言えるだろう。
もちろん、開発したソフトウェアをそのまま展開することはない。自動テスト用のコンポーネントや、アプリケーションが本番環境にデプロイされる前の品質保証、A/Bテストのためのステージング環境が含まれる。
SECへの提出書類の中で、CrowdStrikeのバート・ポドベア氏(最高財務責任者)は「状況は進展している。この出来事が当社のビジネスとオペレーションに与える影響を評価している最中だ」と記した。
CrowdStrikeはアップデートを元に戻したものの、すでにアップグレード済みで不具合によりクラッシュしている顧客のシステムは、以前の安定したバージョンに戻すことはできなかった。同社は、2024年7月22日に「YouTube」に公開した動画で(注5)、影響を受けた顧客向けの自己修復手順を示した。
影響を受けた多くの顧客は、社内で多段階のプロセスを踏み、問題を手動で修正しなければならなかった。
航空企業United Airlinesのスコット・カービー氏(CEO)は、2024年7月22日のLinkedInへの投稿で次のように記した。
「ほぼ全てのシステムが影響を受けた。その結果、世界中の各コンタクトセンターと365の空港において、技術者が2万6000台以上のコンピュータやデバイスを1台ずつ手動で修正しなければならなかった」(注6)
カービー氏はLinkedInの投稿の中で、この出来事を「世界が経験したことのないような広範囲に及ぶテクノロジー障害」と表現した。
なお、CrowdStrikeは、システムクラッシュをもたらしたロジックエラーを引き起こす欠陥のあるアップデートの内容と、それがどのようにして顧客の手に渡ったのかについて、2024年7月27日になって「インシデント事後のプレビュー」の形で説明した。
出典: CrowdStrike says flawed update was live for 78 minutes(Cybersecurity Dive)
注1:CrowdStrike Holdings, Inc.(CrowdStrike)
注2:CrowdStrike software update at the root of a massive global IT outage(Cybersecurity Dive)
注3:Technical Details: Falcon Content Update for Windows Hosts(CrowdStrike)
注4:Helping our customers through the CrowdStrike outage(Microsoft)
注5:CrowdStrike Host Self-Remediation for Remote Users with Local Administrator Privileges(YouTube)
注6:Scott KirbyScott Kirby(LinkedIn)
関連記事
全世界のWindowsがブルースクリーンに(週刊セキュリティニュース)
2024年7月15日週に起きた国内や海外の主要セキュリティニュースを中心に紹介する。
VMwareに危険な攻撃 丸ごと暗号化されてしまう
2024年7月22日週と7月29日週に起きた国内や海外の主要セキュリティニュースを中心に紹介する。CrowdStrike問題の続報の他、ランサムウェア攻撃ではニデックインスツルメンツが、不正アクセスではシャープのECサイトが、設定ミスではウォンテッドリーが、脆弱性ではCheck Point SoftwareやBIND 9、VMware製品、Microsoft Edgeが、DDoS攻撃ではMicrosoft 365とMicrosoft Azureがニュースになった。出版物ではIPAの情報セキュリティ白書2024が報じられた。
サイバー攻撃がクラウドを狙う「2つの理由」とは
クラウドを狙うサイバー攻撃が増え続けている。なぜ攻撃者はクラウドを狙うのだろうか。
© Industry Dive. All rights reserved.