Crowdstrikeが引き起こした世界規模のシステム障害について専門家が解説

世界中の企業に影響を与える大規模なITシステム障害が発生し、航空機の運航停止や銀行、医療部門にも影響を及ぼした。

IT セキュリティ企業CrowdstrikeのCEO、George Kurtz氏は、この問題の原因を「コンピューターのMicrosoft Windowsオペレーティングシステム用に提供しているセキュリティソフトウェアの単一のコンテンツアップデートに見つかった欠陥」であると特定したと述べた。

Microsoftは、この問題が「サードパーティのソフトウェアプラットフォームからのアップデート」によって引き起こされ、「根本的な原因」は現在修正されたと述べた。

The Conversationは、サリー大学のサイバーセキュリティ専門家であるAlan Woodward教授に、何が間違ったのか、そしてこの問題がどのように解決されうるかについて話を聞いた。

何が起きたのか説明していただけますか？

私が思うに、2つの点があります。まず、MicrosoftのAzureクラウドコンピューティングプラットフォームに問題があったようです。詳細は不明ですが、7月18日の夕方からそのサービスにある程度の劣化が始まりました。しかし、完全に機能停止したわけではありません。

しかし、はるかに大きな問題は、7月18日の深夜に行われたと思われる［ITセキュリティ企業］CrowdstrikeのFalcon製品（コンピューターの脅威チェッカー）のアップデートです。Falconは、Windowsを実行している各PCのオペレーティングシステムに深く組み込まれた「エージェント」ソフトウェアを持ち、そのコンピューターを監視し、問題があれば「本部に連絡」します。また、脅威がある場合に注意すべき点についてのアップデートも受け取ります。これは世界中の大規模組織で多く使用されており、それらの組織は膨大な数のPCを管理しています。

Crowdstrikeは急いで何が起きたのかを調査していると確信しています。このソフトウェアはランサムウェア攻撃などから人々を保護するために設計されています。私が見た最新の情報によれば、アップデートシステムファイルが何らかの形で不正な形式でリリースされたようです。

Windowsオペレーティングシステムがこのアップデートにアクセスしますが、対処の仕方がわからず、クラッシュしてしまいます。そのため、人々は「ブルースクリーン・オブ・デス」（システムクラッシュを示すエラーメッセージが表示されたコンピューター画面）を目にしているのです。

そして大きな問題は、この問題をリモートで修正できないことです。各マシンに個別にアクセスし、ソフトウェアを分離するために「セーフ」モードまたは「リカバリー」モードにする必要があります。そこから、マシンを再起動して再び稼働させることができるはずです。しかし、大規模なグローバル企業で広範囲にIT資産が分散している場合、それには長い時間がかかるでしょう。

なぜこの障害はこれほど広範囲に影響を及ぼしているのでしょうか？

Crowdstrikeは大成功を収めており、そのセキュリティソフトウェアは世界中の何十万もの主要クライアントに使用されています。そのため、航空会社、空港、鉄道、病院、証券取引所…これらすべてがダウンしています。

金曜日にオーストラリアで業務が始まったときに問題が始まりました。アップデートは明らかにイギリス時間の昨晩送信され、世界中に波及したのです。

意図的なランサムウェア攻撃の場合、通常は一度に1つか2つのターゲットを攻撃します。しかし、今回の場合、何千もの組織に同時に起こっています。これまでにこのようなことはありませんでした。

Crowdstrikeがどのようにソフトウェアを修正するかはまだ決定されていません。説明したように、企業がこの問題を回避する方法は明確です。しかし、非常に大規模な組織にとっては、これが重要なインフラストラクチャーとビジネスに長期間影響を与える可能性があります – すべてのマシンを物理的に対処するのに数日かかるでしょう。

セキュリティ企業はこのような事態の再発を防ぐことができるでしょうか？

セキュリティソフトウェアはコンピューターのオペレーティングシステムと密接に結びついています、深く埋め込まれているのです。何かが破損していることが判明した場合に、システムが単にクラッシュし続けないような方法が必要です。これはWindowsオペレーティングシステムを所有するMicrosoftと協力して行う必要があるかもしれません。

それを回避する方法はあるはずで、実際にあります。しかし、ブランクのPCにログインしようとしている多くの人々は、PCをセーフモードにして以前の状態に戻す方法を知りません。

現時点では、1つの破損したファイルが世界的な問題を引き起こしているように見えます。コンピューターは常にアップデートをダウンロードしているので、Microsoftがこのアップデートでそれが起こるのをどのように防ぐのか、私にはわかりません。それは明白ではありません。そして100万ドルの価値がある質問は、そもそもこの破損したファイルがどのようにしてリリースされたのか、ということです。

この問題が完全に解決するまでにどのくらいかかるでしょうか？

確実に数日、あるいは数週間かかるでしょう。ロンドンのランサムウェア攻撃を受けた病院のようなものです。彼らはまだ影響を受けています。これらの問題には非常に長い尾があります。

そして今回の場合、長い尾があるだけでなく、輸送、医療、その他あらゆる分野の世界中の組織に非常に広範囲に影響を与えています。これまでにこのようなことは見たことがありません。

X（旧Twitter）上で、Crowdstrikeの共同創業者兼CEOであるGeorge Kurtz氏は次のようにコメントしています：「問題は特定され、分離され、修正が展開されました。最新の情報については、サポートポータルをご参照ください」。

---

本記事は、Alan Woodward氏によって執筆され、The Conversationに掲載された記事「Major IT outage brings businesses around the world to a standstill – expert explains what happened and why」について、Creative Commonsのライセンスおよび執筆者の翻訳許諾の下、翻訳・転載しています。