CrowdStrikeが引き起こした大規模障害の根本原因はメモリアクセス違反、Microsoftが確認セキュリティ製品がカーネルドライバを使用する理由も解説

CrowdStrikeが提供するセキュリティプラットフォーム「Falcon」の構成ファイルの不具合により、世界中の多数のWindowsデバイスでブルースクリーン問題が発生した。これを受けてMicrosoftは、この障害の根本原因の技術的概要や、現在のセキュリティ製品がカーネルモードドライバを使用する理由について公式ブログで解説した。

» 2024年08月02日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 CrowdStrikeが提供するセキュリティプラットフォーム「CrowdStrike Falcon」の構成ファイルの不具合により、2024年7月19日(米国時間、以下同)に世界中の約850万台のWindowsデバイスでブルースクリーン問題が発生した。

 これを受けてMicrosoftは7月27日、この障害の根本原因の技術的概要や、現在のセキュリティ製品がカーネルモードドライバを使用する理由について公式ブログで解説した。

 CrowdStrikeは、Falconプラットフォームのセキュリティ保護メカニズムの一環として、1日に数回更新しているWindowsシステム用センサー(エージェント)の構成ファイル(「チャネルファイル」と呼ばれる)のうち、7月19日4時9分(日本時間で同日13時9分)にリリースしたものがロジックエラーを引き起こし、システムクラッシュとブルースクリーン問題につながったと、ブログなどで説明。根本原因は、このファイル(CSagent.sysドライバ)におけるメモリ安全性の問題、具体的には、境界外読み取りのアクセス違反だとしている。

 Microsoftは、「Microsoft WinDBG Kernel Debugger」と幾つかの無料の拡張機能を利用して、この障害に関連するWindows Error Reporting(WER)カーネルクラッシュダンプを分析し、CrowdStrikeの説明内容を確認した。

Microsoftの見解

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。