Windowsの起動エラーにより世界各地でシステム障害、手作業復旧で長期化の恐れも

画像提供：マイナビニュース

7月19日に大規模なシステム障害が世界各地で発生した。多くの空港で一時的に航空便の運行が停止され、金融サービス、決済手続き、放送、政府機関のサービスなど、影響が多方面に広がった。

このシステム障害は、オンプレミスおよびクラウドプラットフォーム（Azure、AWS、Google Cloudなど）でWindowsマシンが反応しなくなったり、正常に起動できなくなった問題に起因する。影響を受けたWindowsマシンの多くは起動ループに陥り、オフラインになった。

このWindowsの障害は、Windowsの問題やサイバー攻撃によるものではなく、セキュリティ企業CrowdStrikeのアップデートが原因である。

CrowdStrikeは問題を特定し、7月19日（米国時間）に原因と対策について説明する「Statement on Falcon Content Update for Windows Hosts」を公開した。主な内容は以下の通りである：

UTC 7月19日午前4時9分（日本時間：19日午後1時9分）に問題が広がり始めた。
障害の原因は、CrowdStrikeのFalconプラットフォームのSensorエージェント（タイムスタンプが0409 UTCのチャネルファイル "C-00000291*.sys"）である。
影響を受けているのはWindowsホストのみで、MacまたはLinuxベースのホストは正常に稼働している。また、Windows 7/2008 R2で動作するホストにも影響はなかった。
原因特定後に、問題に関連するコンテンツをアップデート前に戻したバージョン（C-00000291*.sysのタイムスタンプが0527 UTC）をリリースした。

ホストがクラッシュし、オフライン状態のまま修正変更を受け取れない場合、以下の手順で問題を解消できる。

WindowsをセーフモードまたはWindows回復環境で起動。
WINDIR%System32に移動（C:\Windows\System32）。
「C-00000291*.sys」に一致するファイルを探して削除する。
ホストを通常通りに起動。

パブリッククラウドや仮想を含む環境では、0409 UTCより前のスナップショットにロールバックすることで解決する。

それができない場合、影響を受ける仮想サーバーからOSのディスクボリュームを切り離す。予防措置としてディスクボリュームのスナップショットまたはバックアップを作成。そのボリュームを新しい仮想サーバーに接続し、「C-00000291*.sys」に一致するファイルを見つけて削除する。修正済みのボリュームを新しい仮想サーバーから切り離し、影響を受けた仮想サーバーに再接続する。