サイバーセキュリティベンダーCrowdStrikeにおける技術的問題の疑いにより、世界各地で大規模なIT障害が発生しており、航空会社、銀行、メディア、小売などの重要セクターに混乱が生じている。
この問題は、CrowdStrikeのセキュリティプラットフォーム「Falcon Sensor」へのアップデートに関係しているようで、Microsoft Windowsのオペレーティングシステムに影響を与えている。報告によれば、影響を受けたシステムは正常に起動できず、ブルースクリーンのエラーが表示されているという。
英国夏時間(BST)午前10時45分にX(旧Twitter)で発表した声明で、CrowdStrike の社長兼CEOであるジョージ・カーツ氏は、Windowsホスト向けの単一のコンテンツ更新で見つかった欠陥の影響を受けた顧客と、同社が積極的に連携していると述べた。
同氏は、この問題はサイバーインシデントとは無関係であり、特定・隔離され、修正済みであると強調した。
「最新の更新情報についてはサポートポータルをご参照ください。当社ウェブサイトでも完全かつ継続的に更新情報を提供し続けます。さらに、組織の皆さまには、CrowdStrikeの担当者とは公式チャネルを通じて連絡を取るよう推奨します。当社チームは、CrowdStrikeのお客様のセキュリティと安定性を確保するため、全面的に動員されています」とカーツ氏は述べた。
Falcon Sensorは、単一の軽量センサーで、クラウドで管理され提供される。
これは、マルウェアを含むあらゆる種類のサイバー攻撃を防ぐために使用される、目的特化型ソリューションとして提供されている。
CrowdStrikeの資料によれば、脅威を迅速に検知するため、攻撃をブロックしつつ、発生しているアクティビティをその場で取得・記録するという。
Infosecurityに対し、BH ConsultingのCEOであるブライアン・ホーナン氏は、世界的にIT運用に影響を与えている主要な問題が2つあるようだと述べた。すなわち、CrowdStrikeの不具合と、米国で発生している別のMicrosoft Azureの障害である。
これら2つの問題は、自社のシステムやアプリケーションが影響を受けることで直接的に、あるいはサプライチェーン内の組織がこれらの問題の一方または両方により障害を被ることで間接的に、企業に影響を及ぼしている。
IT障害の影響を受けた大手ブランド
7月19日、オーストラリアのMicrosoftユーザーが最初に障害を報告し、Woolworths、ANZ、Visa、Netflix、Vodafoneなど、多くの著名企業が影響を受けたと伝えられている。
オーストラリア各地の裁判所は、システムが完全に停止したため、早期閉庁を余儀なくされた。
オーストラリア国家サイバーセキュリティ調整官のミシェル・マクギネス氏はXに投稿し、政府が大規模な技術障害を把握していると述べた。
「現時点の情報では、この障害は影響を受けた企業が採用している第三者ソフトウェアプラットフォームの技術的問題に関連しています」と彼女は書いた。
マクギネス氏はさらに、「サイバーセキュリティインシデントであることを示す情報はありません。主要な関係者全体と引き続き連携しています」と付け加えた。
その後、米国、英国、ドイツ、南米、ニュージーランド、英国の組織が障害を報告している。American Airlines、Delta Airlines、United Airlinesなどの大手航空会社の便は、この問題により運航停止となった。
英国の鉄道事業者Thameslinkも、全ネットワークで広範なIT問題が発生しており、直前の運休が生じる可能性があると述べた。
メディア放送局Sky Newsは放送ができなかったと報じられており、現在は事前収録コンテンツを流している。
CrowdStrikeの問題に対する回避策
CrowdStrikeの脅威ハンティング担当ディレクターであるブロディ・ニスベット氏は、Xへの投稿でこの問題を「不具合のあるチャネルファイル」と説明し、ユーザーが実施できる回避策を提示した。
There is a faulty channel file, so not quite an update.
There is a workaround…
1. Boot Windows into Safe Mode or WRE.
2. Go to C:\Windows\System32\drivers\CrowdStrike
3. Locate and delete file matching “C-00000291*.sys”
4. Boot normally.1/2
— Brody (@brody_n77) 2024年7月19日
ブロディ氏は、この回避策がすべての人に有効ではないことを認めた。
Ecliptic Dynamicsの共同創業者で、元英国陸軍および英国政府の情報専門家であるトム・キッドウェル氏は次のようにコメントした。「アップデートの性質上、各組織から1人がセーフモードで起動し、問題のファイル/ドライバーを削除したうえで、ロールバックするか新しいバージョンに更新する必要があります。CrowdStrikeはこれを非常に迅速にリリースする必要があるでしょう。」
CrowdStrikeが顧客に対して現在公式に示している助言は、追加の対応は行わず、解決策が見つかるまで更新情報を監視することのようだ。
Stickman CyberのCEOであるアジャイ・ウニ氏は、初期分析ではバージョン7.15および7.16を実行している顧客が障害の影響を受けている一方、v7.17を実行している顧客は影響を受けていないことが示唆されると述べた。
「これらの所見についてCrowdStrikeからの公式アドバイザリを待っているところですが、影響を受けた顧客を支援するために最善を尽くしています。常にソフトウェアを更新することの教訓ですが、明らかにこれは極端な例です」とウニ氏はコメントした。
障害はITレジリエンスの必要性を浮き彫りに
ホーナン氏は、このインシデントは現代のビジネス世界における第三者ITプロバイダーへの依存がいかに大きいかを浮き彫りにし、そのようなシステムが停止した際に組織が内在的なレジリエンスを備える必要性を示していると指摘した。
「企業は、顧客にサービスを提供し続けられるよう、適切な事業継続管理/サイバーレジリエンス計画を確実に整備する必要があります。また、その事業継続管理/サイバーレジリエンス計画は、サプライチェーンにおける障害や影響にも及ぶ必要があることを示しています」と彼は説明した。
ホーナン氏はさらに、このインシデントは、NIS2 やDigital Operational Resilience Act(DORA)といった今後のEU規制の重要性を示していると付け加えた。これらは、障害発生時に組織がレジリエンスを管理するための要件を課すことになる。
11:00にCrowdstrikeの社長兼CEOのコメントを追記して更新
翻訳元: https://www.infosecurity-magazine.com/news/crowdstrike-fault-it-outages/
