日本時間の2024年7月19日お昼頃、セキュリティソフト「CrowdStrike Falcon」プラットフォームのエージェントアプリ「Falcon Sensor」の不具合に起因する大規模なインシデントが発生しました。この影響によって、空港でのデジタルサイネージや自動販売機などで使われている「Windows」のPCでブルースクリーンが表示され、SNSで大きな話題になりました。
それから約1週間が経過し、ひとまずの回避策が発表されるとともに、その原因も明らかになりつつあります。
これは個人的には歴史に残るレベルの大変な事故だと感じていますが、これが何らかの“攻撃”ではなかったことには安心しています。
この事象については、マクニカが詳細かつタイムリーな情報を提供しています。改訂履歴の時間を見ると、顧客対応に真摯(しんし)な姿が見て取れるはずです。日本のシステムインテグレーターは本当に優秀ですね。
この他、Microsoftからもこの問題の支援が発表されています。
●インシデントから1週間たった今、この事件をどう受けとめるべきか?
今回の事件は、世界規模で大きな影響が出ました。印象としては2017年5月に発生したランサムウェア「WannaCry」の流行を思い出します。個人的には、CrowdStrikeのシェアがここまで大きいのかと驚きました。この他、いわゆるIoT領域でもブルースクリーンが出ていたことで、そこまでしっかりとセキュリティ対策が進んでいるという意味では、EDR(Endpoint Detection and Response)製品が各業界や幅広い企業規模に受け入れられているのだと実感しました。
筆者は、上記を踏まえてこの事件を機に、セキュリティ担当者以外の人々の間でもEDRの認知が進むかもしれないと思いました。また、EDR(およびEPP)は、悪意ある挙動を把握し、検知するためにOSの根幹に近い部分で動作するため、もしこれが不具合を起こせば今回のようなブルースクリーンが発生する原因になることにも注目が集まったと思います。
上記の挙動上、「セキュリティのためのソフトウェアがシステムを停止する」という皮肉な事態が起きるのはある意味仕方がないのかもしれませんが、システムを運用する上では避けては通れない課題であることも確かです。
今回はCrowdStrikeのソリューションが原因になりましたが、他のセキュリティベンダーの製品では絶対に発生しないとは言い切れないでしょう。恐らく多くのベンダーが、この事態を“ジブンゴト”として捉えているのではないかと思います。
●利用者にできることはあるか?
今回の事象は、利用者レベルでは被害を防げない難しい問題でした。それだけに、セキュリティベンダーには品質保証のためのステップをきっちりと見直し、少なくともテストで排除できる障害はゼロにしてほしいと願っています。今回のように障害が発生したときに、正しいタイミングで適切な情報が公開されることにも期待しています。その意味では、CrowdStrikeやMicrosoftも適切に対応していた印象を持ちました。
ではユーザーができることはないのでしょうか。筆者が思うに、それは「適切な情報公開」を待つことです。今回の障害は世界規模であったため、攻撃者もそのどさくさに紛れ、周辺でさまざまな攻撃を実行していました。CrowdStrikeも同障害に合わせた攻撃キャンペーンを観測しています。
加えて「悪意なき情報提供」というのも大きな課題です。ちょうど日本では週末の午後にこの障害が発生したことで、たくさんの方がCrowdStrikeよりも先に対処方法をガイドしていました。しかし、この情報をうのみにするのは若干危険をはらんでいます。
特に今回は、主に法人向け製品における障害だったため、個人端末ではほぼ影響を受けていません。つまり、法人組織の中にある、管理された端末に対して、個人が判断して操作することは大変危険です。今後も同様の障害が発生したときには、組織の端末は必ず組織の指示に従うようにしてください。一瞬でも保護が外れるような状態を作ってしまうことこそが、攻撃者の狙いである可能性もあるからです。
個人的には、この事象によってIoT機器を含む小さなサービスすらもEDRで保護されていたことを知るとともに、レジを含むシステムが停止したとき、手作業で事業を継続しようとしていた組織があったことに衝撃を受けました。大阪のユニバーサル・スタジオ・ジャパンで大規模な障害が発生した直後、多言語でレジが止まっていることを伝える紙をクルーたちが提示していたこと、そして販売が完全に停止したレストランが無償で冷水を配布していた様子がSNSで流れてきていました。
ランサムウェア攻撃による事業停止が相次いでいますが、その対策にもつながる重要な視点があったように思えます。経営者はそれを現場の工夫に任せるだけでなく、今回の障害を教訓として事業継続のための整備ができているかをいま一度確認してみてはいかがでしょうか。
筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。