世界規模のウィンドウズPCトラブル、IT部門「最悪の週末」に
世界規模で発生したウィンドウズPCのトラブルは多くの混乱を招いた。原因は大企業向けのセキュリティ・ソフトのアップデートの不具合だ。 by Rhiannon Williams2024.07.21
- この記事の3つのポイント
-
- クラウドストライクのアップデートの欠陥が原因で世界的なシステム障害が発生
- 航空会社や銀行、放送局、医療機関などの事業活動に大きな影響が
- PCの回復には手動での作業が必要だが長期的な影響は少ないと見られる
ウィンドウズPCで7月19日に発生した不具合は世界規模のITシステム障害に発展し、航空会社から大手銀行、テレビ局、医療機関まで多くの企業が事業活動停止に追い込まれた。
ユナイテッド航空、デルタ航空、アメリカン航空などの航空会社は運行停止や遅延を余儀なくされ、空港には乗客が取り残される事態となった。英国の放送局スカイニュースは一時的に視聴できなくなり、欧州やオーストラリア、インドでは銀行のオンラインシステムに顧客がアクセスできなくなった。英国の診療所や病院ではカルテや予約システムの利用ができなくなっている。
原因は、サイバーセキュリティ企業「クラウドストライク(CrowdStrike)」がウィンドウズPC向けに提供した単一のコンテンツ・アップデートの欠陥にある。同社のジョージ・カーツ最高経営責任者(CEO)は、影響を受けた顧客に対して積極的に対応していると述べている。
「これはセキュリティ上の問題でもサイバー攻撃でもありません」。カーツCEOはX(ツイッター)にこう投稿した。「問題はすでに特定され、隔離され、修正プログラムを配布しています。最新の情報についてはサポート・ポータルを参照してください。また、当社のWebサイトでは今後も継続的かつ完全な更新情報を提供していきます」。クラウドストライクはMITテクノロジーレビューの問い合わせに対し、顧客向けの最新情報を追加したブログ投稿を参照するよう回答した。
問題の原因
今回の問題は、クラウドストライクのアップデートの不具合に起因している。影響を受けたウィンドウズPCやサーバーをオフライン状態からユーザーが起動しようとすると、「死のブルースクリーン」が表示される。マックとリナックスの端末は影響を受けていない。
このアップデートは、クラウドストライクのソフトウェア「ファルコン(Falcon)」向けのもの。ファルコンは「エンドポイント検知・対応(EDR:Endpoint Detection and Response)」ソフトウェアであり、企業のコンピューター・システムをサイバー攻撃やマルウェアから保護することを目的としている。だが想定通りには動作せず、アップデートによって同社のウィンドウズ版ソフトウェアを実行していたコンピューターが故障し、再起動もできなくなった。クラウドストライクの製品はおもに大企業で使用されているため、家庭や中小企業のPCへの影響は少ない。マイクロソフトにコメントを求めたが、現時点で回答は得られなかった。
「クラウドストライクのソフトウェアはOSの低レベル・レイヤーで動作しています。このレベルで問題が起きると、OSが起動できなくなります」。独立系サイバーセキュリティ研究者兼コンサルタントで、『Philosophy of Cybersecurity(サイバーセキュリティの哲学)』の著者であるルカシュ・オレイニクは言う。
オレイニクによると、同社のウィンドウズ版ソフトウェアを実行しているコンピューターがすべて同じように影響を受けたわけではないという。クラウドストライクがアップデート(すでに撤回済み)を実施したタイミングで電源が入っていなかったマシンは、アップデートを受信していないはずだと指摘する。
破損したアップデートを受け取り、その後再起動したシステムでも動作しているマシンであれば、クラウドストライクからの自動アップデートだけで対応は十分だと、オレイニクは言う。
「ただ、数千から数万という規模で、人間の作業が必要になるかもしれません。つまり、多くのIT部門のスタッフが最悪の週末を迎えることになります」。
影響を受けたPCを手動で回復するには
すでに影響を受けたPCの問題を解決するには、システム管理者の権限が必要だ。クラウドストライクは以下の手順を推奨している。
1.ウィンドウズをセーフモード、もしくは回復環境で起動
2.ディレクトリ「C:WindowsSystem32driversCrowdStrike」へ移動
3.「C-00000291*.sys」というファイルを探し、削除
4.通常通りコンピューターを起動
簡単な手順に見えるかもしれない。ロンドン大学ロイヤル・ホロウェイ校情報セキュリティ学部のアンドリュー・ドワイヤー講師によると、手順が簡単に実行できるのは確かだが、物理的なアクセスが必要になる。つまり、IT部門の担当者は影響を受けた遠隔マシンを追跡する必要がある。
ドワイヤー講師は、「今回の問題が障害であって、犯罪組織や国家からの攻撃ではなかったのは本当に幸運でした。一方、ITサプライチェーンのしかるべき場所に入り込めば、重大かつ世界的な損害を引き起こせる可能性が示されたと言えます」と話す。
IT部門の担当者は今後1週間ほどは対応に頭を悩ませることになるだろうが、影響を受けたシステムに長期的かつ重大な問題が生じる可能性は低い。もしアップデートの欠陥ではなくランサムウェアだったら、そうはいかなかっただろう。「仮にランサムウェアだったら、重大な障害が何か月も続いていた可能性があります」とドワイヤー講師は話す。
「エンドポイント検知ソフトウェアがなければ、多くの組織ははるかに脆弱な環境に置かれるでしょう。しかし、これらのソフトウェアは私たちが使う重要なノードである、コンピューター・システムに広範なアクセスを持っていることを認識する必要があります」。
- 人気の記事ランキング
-
- Google’s new Project Astra could be generative AI’s killer app 世界を驚かせたグーグルの「アストラ」、生成AIのキラーアプリとなるか
- These AI Minecraft characters did weirdly human stuff all on their own マイクラ内に「AI文明」、 1000体のエージェントが 仕事、宗教、税制まで作った
- Google’s new Project Astra could be generative AI’s killer app 世界を驚かせたグーグルの「アストラ」、生成AIのキラーアプリとなるか
- We saw a demo of the new AI system powering Anduril’s vision for war オープンAIと手を組んだ 防衛スタートアップが目指す 「戦争のアップデート」
- リアノン・ウィリアムズ [Rhiannon Williams]米国版 ニュース担当記者
- 米国版ニュースレター「ザ・ダウンロード(The Download)」の執筆を担当。MITテクノロジーレビュー入社以前は、英国「i (アイ)」紙のテクノロジー特派員、テレグラフ紙のテクノロジー担当記者を務めた。2021年には英国ジャーナリズム賞の最終選考に残ったほか、専門家としてBBCにも定期的に出演している。