Microsoft、Crowdstrikeの障害によって世界中で850万台のPCが影響を受けたと発表、復旧ツールを公開

CrowdStrikeの致命的な更新プログラムが世界中で850万台のWindows PCに影響を与え、企業や重要インフラに深刻な混乱をもたらした。この前例のない事態に対し、CrowdStrikeとMicrosoftは協力して対応に乗り出している。

広範囲に及ぶ影響と対応策

2024年7月18日、サイバーセキュリティ企業CrowdStrikeがWindows向けFalconセンサーエージェントの問題のある更新プログラムをリリースし、世界中の銀行、航空会社、メディア企業など、さまざまな分野で大規模な混乱を引き起こした。この不具合により、Windows PCが0x50または0x7Eエラーコードで継続的に再起動し、ブルースクリーン（BSOD）を引き起こした。

Microsoftによると、この問題は850万台のWindowsデバイスに影響を与えた。これは全Windows端末の1%未満だが、CrowdStrikeが世界中の重要な機関（米国の緊急通報オペレーション、ニューヨーク市の公共交通機関、複数国の銀行システム、イスラエルの医療サービスなど）やサービス企業（Starbucksなど）で使用されていることを考えると、その影響は甚大だった。

CrowdStrikeとMicrosoftは、影響を受けた顧客のPCを復旧させるためのガイダンスを提供している。Microsoftは数百人のエンジニアと専門家を動員し、顧客と直接協力してサービスを復旧させている。また、AmazonのAWSやGoogle Cloudなど、他の主要クラウドベンダーとも協力して、影響を受けたシステムの復旧を加速させている。

CrowdStrike社はこの問題に対する回避策を提供しており、こちらのサポートページには、問題の概要とCEOの声明も掲載されている。

Microsoftも復旧プロセスを迅速化・自動化するための新しいツールをリリースしている。 CrowdStrikeの復旧ツールをWindows PCで使用するには、64ビットのWindowsと8GB以上のRAMを搭載した別のPCが必要となる。 また、最低1GBのストレージを持つUSBドライブ、ツールを実行するための管理者権限、およびBitLocker暗号化により影響を受けたシステム上のBitLocker回復キーも必要だ。 このツールは起動可能なUSBドライブを作成し、起動すると必要な修正プログラムを自動的に適用し、CrowdStrikeが提案する「問題修復スクリプト」を実行するため、ユーザー、特にIT管理者は多くの時間と労力を節約できます。 このユーティリティの使用方法は以下の通り。

1. Microsoft ダウンロードセンターから署名済みの Microsoft Recovery Tool をダウンロードします。
2. ダウンロードしたソリューションから PowerShell スクリプトを解凍します。
3. PowerShell プロンプトを昇格して MsftRecoveryToolForCS.ps1 を実行します。
4. ADK のダウンロードとインストールが開始されます。完了するまでに数分かかる場合があります。
5. オプションで、イメージのインポート用にドライバディレクトリを選択するよう求められます。 このステップをスキップするには、”N “を選択することをお勧めします。 デバイスによっては特定のキーボードドライバやマスストレージドライバが必要な場合がありますが、ほとんどのデバイスでは “N “で十分です。 注：このツールは、指定されたディレクトリの下にあるSYSとINIを再帰的にインポートします。
6. プロンプトが表示されたらUSBドライブを挿入し、ドライブレターを指定してください。
7. USBの作成が完了したら、WindowsクライアントからUSBを取り外してください。

続いて、リカバリーが必要な影響を受けたシステムで以下の手順を実行する：

1. USB キーを影響を受けるデバイスに挿入します。
2. デバイスを再起動します。
3. 再起動中に F12 を押します（または BIOS への起動についてはメーカー固有の指示に従います）。
4. BIOS ブートメニューから、Boot from USB を選択して続行します。
5. ツールが実行されます。
6. BitLocker が有効になっている場合は、BitLocker 回復キーの入力を求められます。 BitLocker 回復キーのダッシュ記号を入力します。 回復キーのオプションはここで提供されます。
7. このツールは、CrowdStrike が推奨する問題修復スクリプトを実行します。
8. 完了したら、デバイスを通常通り再起動します。

MicrosoftのEnterprise and OS SecurityのVice Presidentである David Weston氏は、この事態について次のようにコメントしている：

「この事態は、グローバルクラウドプロバイダー、ソフトウェアプラットフォーム、セキュリティベンダー、その他のソフトウェアベンダー、そして顧客を含む、私たちの広範なエコシステムの相互接続性を示しています。また、テクノロジーエコシステム全体で、既存のメカニズムを使用して安全な展開と災害復旧の実践を優先することがいかに重要であるかを思い起こさせるものでもあります」。

この前例のない事態は、広範囲にわたる技術的混乱に直面した際の協力と迅速な行動の重要性を明確に示している。CrowdStrike、Microsoft、その他の業界リーダーの共同の取り組みは、このような事態の影響を軽減する上で統一された対応の力を示している。また、CrowdStrikeのような大規模なシステムを対象とするサイバーセキュリティ企業が、更新プログラムの展開時により一層の注意と慎重さを払う必要性を浮き彫りにした。

---

Sources

• Microsoft: New Recovery Tool to help with CrowdStrike issue impacting Windows endpoints
• Crowdstrike: REMEDIATION AND GUIDANCE HUB: FALCON CONTENT UPDATE FOR WINDOWS HOSTS