CrowdStrikeの“歴史的なインシデント”から何を学ぶべきか？

●利用者にできることはあるか？

　今回の事象は、利用者レベルでは被害を防げない難しい問題でした。それだけに、セキュリティベンダーには品質保証のためのステップをきっちりと見直し、少なくともテストで排除できる障害はゼロにしてほしいと願っています。今回のように障害が発生したときに、正しいタイミングで適切な情報が公開されることにも期待しています。その意味では、CrowdStrikeやMicrosoftも適切に対応していた印象を持ちました。

　ではユーザーができることはないのでしょうか。筆者が思うに、それは「適切な情報公開」を待つことです。今回の障害は世界規模であったため、攻撃者もそのどさくさに紛れ、周辺でさまざまな攻撃を実行していました。CrowdStrikeも同障害に合わせた攻撃キャンペーンを観測しています。

　加えて「悪意なき情報提供」というのも大きな課題です。ちょうど日本では週末の午後にこの障害が発生したことで、たくさんの方がCrowdStrikeよりも先に対処方法をガイドしていました。しかし、この情報をうのみにするのは若干危険をはらんでいます。

　特に今回は、主に法人向け製品における障害だったため、個人端末ではほぼ影響を受けていません。つまり、法人組織の中にある、管理された端末に対して、個人が判断して操作することは大変危険です。今後も同様の障害が発生したときには、組織の端末は必ず組織の指示に従うようにしてください。一瞬でも保護が外れるような状態を作ってしまうことこそが、攻撃者の狙いである可能性もあるからです。

　個人的には、この事象によってIoT機器を含む小さなサービスすらもEDRで保護されていたことを知るとともに、レジを含むシステムが停止したとき、手作業で事業を継続しようとしていた組織があったことに衝撃を受けました。大阪のユニバーサル・スタジオ・ジャパンで大規模な障害が発生した直後、多言語でレジが止まっていることを伝える紙をクルーたちが提示していたこと、そして販売が完全に停止したレストランが無償で冷水を配布していた様子がSNSで流れてきていました。

　ランサムウェア攻撃による事業停止が相次いでいますが、その対策にもつながる重要な視点があったように思えます。経営者はそれを現場の工夫に任せるだけでなく、今回の障害を教訓として事業継続のための整備ができているかをいま一度確認してみてはいかがでしょうか。

筆者紹介：宮田健（フリーライター）

＠IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。