CrowsStrike の緊急アップデートは、サイバー攻撃によって世界中の数百万台の Windows マシンに誤って問題が引き起こされるのを防ぐことを目的としています。
Microsoftは7月21日早朝、「CrowdStrikeアップデートは850万台のWindowsデバイスに影響すると推定しているが、これは全世界のWindowsデバイス総数の1%にも満たない」と同社のブログで発表した。 「範囲は狭いものの、広範囲にわたる経済的および社会的影響は、多くの重要なサービスを運営する企業によるクラウドストライクへの依存を反映しています。」
CrowdStrike は、業界最大手のサイバーセキュリティ企業の 1 つです。 7 月 19 日、Microsoft Azure クラウド インフラストラクチャと Windows コンピュータを保護するために使用される同社の Falcon Sensor ソフトウェアのアップデートにより、数千件のフライトが遅延し、テレビネットワークは放送を停止し、ユーザーは医療や銀行へのアクセスなどのサービスにアクセスできなくなりました。
Microsoftによると、CrowdStrikeはAzureインフラストラクチャを迅速に復旧するソリューションを開発し、Amazon Web ServicesやGoogle Cloud Platformと協力してMicrosoftが経験している影響に関する情報を共有しているという。
航空業界は事件後、徐々に回復しつつある。 ロイター 最も大きな被害を受けた航空会社の一つであるデルタ航空の話として、7月20日午後9時(ハノイ時間)の時点で600便以上が欠航しており、さらに欠航する見込みであると述べた。 ベトナムでもベトジェット航空は7月19日午後、世界中の他の空港での運航遅延により影響を受けると発表した。
Falcon Sensor のアップデートにより、近年最大の接続障害の 1 つと考えられる「死のブルー スクリーン」問題が発生しました。
Falcon Sensor は、新しい脅威を継続的に追加することでシステムの安全性を高めるように設計されています。 ただし、新しいバージョンには、一般リリース前には検出されなかったエラー コードが含まれています。 ロイター 同氏は、オペレーティングシステムの脅威研究の専門家であるパトリック・ワードル氏の言葉を引用し、エラーコードは「構成情報または署名を含むファイルに存在する」と述べた。 多くの場合、署名には、セキュリティ ソフトウェアが悪意のあるコードやマルウェアの種類を検出するのに役立つ情報が含まれています。
「顧客を最新の脅威から確実に保護するために、セキュリティ製品は通常、おそらく 1 日に 1 回程度の頻度で署名を更新します」とウォードル氏は述べ、CrowdStrike がリリース前に徹底的なテストが行われなかった理由を挙げた。
ソフトウェアのアップデートは未検証の薬のようなものです。 医薬品に望ましくない副作用が生じる可能性があるのと同じように、そこに含まれるコード行にはエラーが含まれる可能性があり、他のソフトウェアと競合する可能性もあります。
通常、企業はソフトウェアを一般に全員にリリースする前に、まず小規模なグループにソフトウェアをテスト、テスト、展開することに時間を費やします。 ただし、セキュリティの分野では、サービス プロバイダーは脅威と競争したり、企業間で競争したりする必要があるため、セキュリティと安定性の間にはトレードオフが生じます。
「ウイルス対策製品は、脅威にできるだけ早く対応するために、毎日複数のアップデートを実行する必要があります。 「1 日に何度もチェックするのは面倒です」と、JFrog Platform ディレクターの最高情報セキュリティ責任者 (CISO) である Paul Davis 氏は言います。 資産。
同氏によると、セキュリティ企業はソフトウェアの基本機能をテストすることが多いが、それでも自動アップデートに依存し、「計算されたリスク」を受け入れなければならないという。
一方、今回CrowdStrikeはこうしたリスクを事前に計算していなかった。 このアップデートによりブルー スクリーンが発生し、多くの重要なサービスに影響を及ぼしました。 エラーが特定されて修正された場合でも、修正は手動で行う必要があり、時間がかかる場合があります。
「各コンピュータにアクセスして再起動し、画面が表示されたら F3 キーを押してセーフ モードに入り、ファイルをどこかから削除する必要があります」と、この問題の被害を受けた企業の CISO は述べました。 説明する。
同様の災害を防ぐために、Huntres Labs のセキュリティ研究者である John Hammond 氏は、アップデートを徹底的にテストするか、広く適用する前に限られたグループに展開することを推奨しています。
CrowdStrike の前にも、2010 年に McAfee ウイルス対策ソフトウェアのアップデートの欠陥による同様の事件が発生し、数十万台のコンピュータが動作停止しました。
ルー・クイ