全世界で発生したCrowdStrike“ブルスク”問題、原因からIT担当者が検討すべきセキュリティ対策を考察する

“ブルースクリーン”と呼ばれるBSOD（Blue Screen of Death）（画像はイメージ）

　Windowsがブルースクリーンになり、再起動ループに陥ってしまう──米CrowdStrike製セキュリティ対策ソフトウェアのアップデートが引き起こした問題は、社会的に大きな影響を及ぼす事態となった。ミッションクリティカルな産業（航空業界、鉄道など）やパブリックセクターも同ソフトウェアを導入していたことによるものだ。

　そうした問題がどのように起きて、何が原因で、今後IT担当者はどのような対策を施すべきか、そうしたことに関して、CrowdStrikeやMicrosoftなどの発表をもとに考えていきたい。

●ソフトの“致命的なバグ”で850万台のPCがブルースクリーンに

　今回の騒動の原因になったのは、CrowdStrikeが提供するエンドポイント向けセキュリティ対策ソフトウェアに含まれるツールにバグがあったことだ。

　同社が提供する「Falcon」シリーズに含まれる「Falcon sensor for Windows」は、Windowsの動作をOSレベルで監視するためのソフトウェアで、クラウド側で展開されるSaaSベースのツールと協調して、PCのセキュリティを高める役割を果たす。

　このFalcon sensor for Windows向けに同社が公開したアップデートで問題が発生した。OSがクラッシュした時に表示されるBSOD（Blue Screen of Death）と呼ばれる“ブルースクリーン”画面が表示され、システムが強制的に再起動──その後、システムの再起動がループして、OSが起動しないという事象が発生した。

　本事象が発生したのは、グリニッジ標準時間の7月19日午前5時27分（日本時間では7月19日午後2時27分）にCrowdStrikeが公開したアップデートパッチが展開されてからだ。同社によれば、Falcon sensor for Windowsは自動でアップデートされる仕組みになっており、通常通りアップデートパッチを展開（英語ではrolloutと呼ぶ）したところ、世界的にFalcon sensor for Windowsが導入された端末で、BSODが発生したという。

　OSベンダーであるMicrosoftの集計によれば、850万台のPCが影響を受けており、世界で稼働しているWindowsデバイスの1％以下だという。1％以下といわれると、そんなに大したことがないように感じられるが、問題はCrowdStrikeの顧客が“ラージエンタープライズ”と呼ばれる、大企業がほとんどであることだ。