全世界で発生したCrowdStrike“ブルスク”問題、原因からIT担当者が検討すべきセキュリティ対策を考察する

　ミッションクリティカルと呼ばれる、エラーが発生すると大きな影響がある航空会社や官公庁などで採用されていたため、社会的に大きな影響を及ぼした、というのが事案の概要となる。

●こうなるのはWindowsの安定性が足りないから？

　なぜこうしたことが起こるのか？　Windowsの安定性に問題があるのか？　公正な言い方をすると、それはある意味正しく、ある意味正しくない。

　今回の原因になったFalcon sensor for Windowsの復旧方法では、Windowsをセーフモードなどで起動して、「C:\Windows\System32\drivers\CrowdStrike」というシステムファイルが格納されているドライバーフォルダにある「C-00000291*.sys」（*は何らかの文字列であることを示している）というファイルを削除して再起動すると、OSはBSODのループから復帰して正常に起動すると説明されている。

　この「C:\Windows\System32\drivers」というフォルダには通常、ハードウェアのドライバーなどが置かれていて、Windows OSの起動時にカーネルモードと呼ばれるOSの重要部分の一部として読み込まれることになる。

　今回はそこに格納されたCrowdStrikeの「C-00000291*.sys」がBSODを引き起こしていたため、BSODになった後、OSが起動する段階で再びBSODになるということを繰り返したと考えられる。

　なお、インストール時には管理者権限付与が必要になるため、きちんとユーザーレベルの管理を行っている企業PCではユーザーレベルの権限ではこうしたドライバーをインストールできないようになっている。しかし、ISV（サードパーティーのソフトウェアベンダー、Microsoftから見たCrowdStrikeがこれに該当する）にそうしたモジュールをOSの一部として組み込ませるような仕組みを用意していることが、今回の問題につながったと否定的に捉えることは一面正しい。

　しかし、それはさまざまなISVのアプリケーションや、さまざまなIHV（サードパーティーハードウェアベンダー、Microsoftから見てPCメーカーや周辺機器メーカーが該当する）のハードウェアをサポートできるプログラマブルOSであるWindowsの特徴を否定するという意味で正しくない。