CrowdStrike、約850万台のWindowsデバイスで発生したブルースクリーン問題を謝罪 原因と対処法を公開：MicrosoftはIT管理者向けに自動修復ツールをリリース

セキュリティベンダーCrowdStrikeが提供する「CrowdStrike Falcon」のWindowsシステム用構成ファイルの不具合により、約850万台のWindowsデバイスでブルースクリーン問題が発生した。同社は謝罪と声明を発表し、大規模障害に至った原因と問題の修正、対処法を特設ページに掲載した。

[＠IT]

　2024年7月19日（米国時間、以下同）、セキュリティベンダーCrowdStrikeが提供する「CrowdStrike Falcon」プラットフォームのWindowsシステム用センサーの構成ファイルに関する不具合により、世界中の多数のWindowsデバイスでブルースクリーン（BSoD：Blue Screen of Death）問題が発生した。

　Microsoftによると、この問題の影響を受けたWindowsデバイスは約850万台に上ると推計されている。CrowdStrikeは謝罪と声明を発表し、原因とその修正に関する説明、対処法、各種情報へのリンクをまとめた「REMEDIATION AND GUIDANCE HUB」（修復とガイダンスのハブ）ページを開設した。

大規模障害の原因

　CrowdStrikeは、Falconプラットフォームのセキュリティ保護メカニズムの一環として、Windowsシステム用センサー（エージェント）の構成ファイル（「チャネルファイル」と呼ばれる）を1日に数回更新している。これらの更新は、新たに発見されたサイバー攻撃の戦術、技術、手順などに対応するためのものだ。

　CrowdStrikeによると、2024年7月19日4時9分（日本時間で同日13時9分）にリリースしたチャネルファイルがロジックエラーを引き起こし、システムクラッシュとBSoDにつながったという。同社はこのチャネルファイルを7月19日5時27分（日本時間で同日14時27分）に修復した。

　Falconエージェントが導入されており、7月19日4時9分から5時27分までの間に、4時9分にリリースされたチャネルファイルをダウンロードしたWindowsデバイスは、この問題の影響を受ける可能性がある。

　Falconエージェントを導入したWindowsシステムでは、チャネルファイルは以下のディレクトリに存在する。

C:\WindowsSystem32\drivers\CrowdStrike

　タイムスタンプが「2024-07-19 0527 UTC」以降のチャネルファイル「C-00000291*.sys」は、修復された（良好な）バージョンだ。これに対し、タイムスタンプが「2024-07-19 0409 UTC」のチャネルファイル「C-00000291*.sys」は、問題のあるバージョンだ。

　CrowdStrikeの注釈によると、このディレクトリに複数の「C-00000291*.sys」が存在するのは正常だ。チャネルファイルは拡張子がsysだが、カーネルドライバではないという。

　CrowdStrikeは「この問題はサイバー攻撃によるものでなく、サイバー攻撃に関連するものでもない。このチャネルファイルでロジックエラーがどのように発生したかを特定するために根本の原因分析を進めており、その進展に伴い、分析結果を更新する」と述べている。

影響を受けたWindowsシステムの修復

　CrowdStrikeは、Windowsシステムがクラッシュしていて、更新されたチャネルファイルをダウンロードできない場合の修復手順として、以下の2つを紹介している。

手動

　Microsoftのサポート情報「KB5042421: CrowdStrike issue impacting Windows endpoints causing an 0x50 or 0x7E error message on a blue screen」に従って実施する。

Microsoftが公開したリカバリーツールによる自動修復

　Microsoftは、IT管理者が修復プロセスを迅速化するための2つのオプションを備えたリカバリーツールを7月20日に公開した。2つのオプションは以下の通り。

• Windows Preinstall Environment（WinPE：Windowsプレインストール環境）からのリカバリー：デバイスの修復を容易にするブートメディアを作成する。ローカル管理者権限は不要だ
• セーフモードからのリカバリー：影響を受けたデバイスがセーフモードで起動するようにブートメディアを作成する。その後、ローカル管理者権限を持つアカウントを使用してログインし、修復手順を実行する

　CrowdStrikeのハブページでは上記の他、CEOの声明、問題の影響を受けるホストの特定方法、BitLockerキーの回復方法のリンク、クラウドベースの環境リソースの復元方法のリンク、サードパーティーベンダー情報のリンクなどが掲載されている。

　CrowdStrikeは7月21日21時6分（UTC）のLinkedInへの投稿で、「影響を受けた約850万台のWindowsデバイスのうち、かなりの台数がオンラインに復旧し、稼働している。顧客とともに、影響を受けたシステムの修復を加速させる新しい手法をテストした。現在、この手法へのオプトインの運用プロセスに入っている」と述べている。