ブルースクリーン多発問題、Windows・AWS・Azureにおける解決策まとめ

WindowsをセーフモードまたはWindows回復環境で起動する。この際、無線LANではなく有線LANを使うことが推奨される
%WINDIR%\System32\drivers\CrowdStrikeディレクトリに移動する。WinRE/WinPEではOSボリュームのWindows\System32\drivers\CrowdStrikeディレクトリに移動する
「C-00000291*.sys」に一致するファイルを見つけて削除する
ホストを通常どおり起動する

なお、BitLockerで暗号化されたホストでは、回復キーが必要になる場合があるという。

パブリッククラウドまたは仮想環境を含む同様の環境における回避方法としては、次の手順が示されている。

影響を受ける仮想サーバーからオペレーティングシステムのディスクボリュームを切り離す
安全策としてディスクボリュームのスナップショットまたはバックアップを作成する
ボリュームを新しい仮想サーバに接続・マウントする
%WINDIR%\System32\drivers\CrowdStrikeディレクトリに移動する
「C-00000291*.sys」に一致するファイルを見つけて削除する
新しい仮想サーバからボリュームを切り離す
影響を受けた仮想サーバに固定ボリュームを再接続する

また、すでにスナップショットが作成されている場合は、0409 UTCより前のスナップショットにロールバックする方法もあるとされている。
○AWSまたはAzureを使っている場合

Amazon Web Services (AWS)およびMicrosoftは、一連の問題に対して、次のドキュメントを公開して対処方法を伝えている。

Recover AWS resources affected by the CrowdStrike Falcon agent | AWS re:Post
Azure status

この問題は、さまざまなベンダーが自社製品に関連する観点から情報を公開しており、それぞれの情報を適切に理解し対応することが望まれている。
○サイバーセキュリティ攻撃ではない

CrowdStrikeはこの問題をアップデートに不具合が含まれていたことが原因であり、同社に対するサイバー攻撃が原因ではないと説明している。また、影響を受けるのはWindowsでありMacやLinuxは影響を受けないとも説明している。

この問題は世界中でWindowsのクラッシュを引き起こしており、日本においても問題が発生している。CrowdStrikeを利用しており、CrowdStrikeのアップデート後にブルースクリーンが発生するようになった場合は、この問題の影響を受ける可能性がある。CrowdStrikeの提供する情報を確認するとともに、提示されている回避方法などを適用することが望まれる。
（後藤大地）