事象: 2024年7月19日に世界で同時多発的にWindowsブルースクリーン障害が発生
- Fortune 500の中の298社が顧客で被害総額は54億ドル規模とのこと
- 世界で850万台のWindows端末が影響を受けており、これはすべてのWindowsマシンの1％未満にあたる
- 世界中の空港、鉄道システム、銀行、医療機関、ホテル、テレビ局などで混乱が生じた
原因: CrowdStrike製セキュリティソフトを導入しているPCで発生することが明らかに
- Windows ホストの Falcon コンテンツ更新で見つかった欠陥が原因とのこと
- CrowdStrike Falconのアップデートとしてプッシュ配信されたコードにバグが混在していた

ツルオカ

CrowdStrikeとは

クラウドストライクは2011年に元マカフィーCTO含む2名で米国で設立
- 日本国内本格参入は2018年
マルウェアやサイバー攻撃からマシンを守るいわゆるサイバーセキュリティソフトウェア
ガートナーによるとCrowdStrikeはセキュリティソフトウェア市場の売上の14％を占めている
Falconのソリューションはエンドポイントセキュリティやログ監視などたくさん
- ref. https://www.networld.co.jp/product/crowdstrike/pro_info/falcon/

ツルオカ

防壁と隣り合わせのリスク

20年前にはTrend Microのウィルスバスターも同様にやらかしている

カーネルレベルで検知ができるようにするには、当然それ相応の実行権限を与えなければならない反面、システム全体をクラッシュさせてしまうリスクと隣り合わせであると。そしてそれは「開胸手術」に近いと例えられている。胸部を切開し悪性物を根本から取り除くことができる反面、身体への負担も大きく一歩間違えれば別の病気を引き起こすリスクがある。

CrowdStrike Falconのソフトウェアに対する「カーネルドライバー」のアップデートに関連があるようだ

セキュリティソフトウェアにとって、このような非常に機密性の高いレベルでのアクセスは欠かせない。システムにインストールされた悪意あるソフトウェアよりも先に動作し、ハッカーがコードを仕込もうとする可能性のあるシステムのあらゆる部分にアクセスできるようにするからだ

この深いレベルでのアクセスは、セキュリティソフトウェアやそのアップデートがシステム全体をクラッシュさせる可能性をはるかに高くする

OSのカーネルレベルで悪意あるコードを検出するソフトウェアを実行することを、スイシュは「開胸手術」に例えている

ツルオカ

悪いやつは必ず出てくる。

公式声明でも気を緩めるなと

攻撃者や悪意のある人物がこのようなイベントを悪用しようとすることはわかっています。皆様には、警戒を怠らず、クラウドストライクの公式担当者と連絡を取り合うことをお勧めします。当社のブログとテクニカルサポートは、引き続き最新のアップデートの公式チャネルです。

ツルオカ

$CRWD 株価

今年は上場来高値も更新しS&P500にも採用され高値398.33までつけた優良銘柄だった
343 USD→障害発生→304 USD→263 USDまで下落
障害発生後の7/19では-15%の下落と対した下げではなかったが賠償金などの懸念も生まれさらに下げる形に
個人的にも保有していたので気になっていたが、実は障害発生の2,3日前から結構売りに出せれていて中にはインサイダーを疑う人もちらほら
- それまで370付近で安定していたのに急に下落トレンドになってからの障害だった

ツルオカ

EDRとは

EDR（Endpoint Detection and Response）とは、ユーザーが利用するパソコンやサーバー（エンドポイント）における不審な挙動を検知し、迅速な対応を支援するセキュリティソリューション

いわゆる振る舞い検知というやつ

サイバー攻撃を阻止するだけでなく、内部に侵入された場合を想定し、迅速な対応によって被害の拡大を防ぐことを目的としたEDR

ゼロトラストに基づいている