検索
ニュース

CrowdStrikeが引き起こした大規模障害の根本原因はメモリアクセス違反、Microsoftが確認セキュリティ製品がカーネルドライバを使用する理由も解説

CrowdStrikeが提供するセキュリティプラットフォーム「Falcon」の構成ファイルの不具合により、世界中の多数のWindowsデバイスでブルースクリーン問題が発生した。これを受けてMicrosoftは、この障害の根本原因の技術的概要や、現在のセキュリティ製品がカーネルモードドライバを使用する理由について公式ブログで解説した。

Share
Tweet
LINE
Hatena

 CrowdStrikeが提供するセキュリティプラットフォーム「CrowdStrike Falcon」の構成ファイルの不具合により、2024年7月19日(米国時間、以下同)に世界中の約850万台のWindowsデバイスでブルースクリーン問題が発生した。

 これを受けてMicrosoftは7月27日、この障害の根本原因の技術的概要や、現在のセキュリティ製品がカーネルモードドライバを使用する理由について公式ブログで解説した。

 CrowdStrikeは、Falconプラットフォームのセキュリティ保護メカニズムの一環として、1日に数回更新しているWindowsシステム用センサー(エージェント)の構成ファイル(「チャネルファイル」と呼ばれる)のうち、7月19日4時9分(日本時間で同日13時9分)にリリースしたものがロジックエラーを引き起こし、システムクラッシュとブルースクリーン問題につながったと、ブログなどで説明。根本原因は、このファイル(CSagent.sysドライバ)におけるメモリ安全性の問題、具体的には、境界外読み取りのアクセス違反だとしている。

 Microsoftは、「Microsoft WinDBG Kernel Debugger」と幾つかの無料の拡張機能を利用して、この障害に関連するWindows Error Reporting(WER)カーネルクラッシュダンプを分析し、CrowdStrikeの説明内容を確認した。

Microsoftの見解

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

ページトップに戻る