CrowdStrike update crashes Windows systems, causes outages worldwide
2024/07/19 BleepingComputer — CrowdStrike Falcon の最新アップデートに含まれるコンポーネントの不具合が、Windows システムをクラッシュさせ、世界中の空港/テレビ局/病院など組織やサービスに影響を与えている。この不具合は Windows のワークステーション/サーバに影響を及ぼしており、企業全体コンピュータや、何十万台ものコンピューターがオフラインになるほどの、大規模な機能停止がユーザーから報告されている。一部の報告によると、米国とカナダでは、緊急サービスにも影響が及んでいるとのことだ。
CrowdStrike の不具合アップデートに対する回避策
この数時間において、CrowdStrike Falcon Sensor の最新アップデートをインストールした後に、Windows ホストがブートループに嵌まり込み、BSOD (Blue Screen of Death) が表示されるという苦情が、ユーザーから寄せられている。
この問題を認めた CrowdStrike のエンジニアが、「この問題に関連するコンテンツの配置を特定し、それらの変更を元に戻した。症状として確認しているものには、Falcon Sensor に関連するバグ・チェック画面エラーが発生する、ホストが含まれている」と説明する、テクニカル・アラートを発表した。
同社は、センサー用のデータなどを取り込んだ、チャネル・ファイルが原因であることを明らかにした。このファイルは、センサーのアップデートの一部に過ぎないため、Falcon Sensor のアップデートを削除することなく、個別に対処することができるという。
すでに影響を受けているユーザーに対して、CrowdStrike は以下の回避策を提供している:
- Windows を Safe Mode もしくは Windows Recovery Environment で起動する。
- “C:∕WindowsSystem32∕drivers∕CrowdStrike” ディレクトリに移動する。
- C-00000291*.sys に一致するファイルを探し出して削除する。
- ホストを、通常通りにブートする。
数分前に CrowdStrike の CEO である George Kurtz は、顧客の問題に積極的に取り組んでいる と発表し、その原因が、Windows ホスト用の単一のコンテンツ更新で見つかった、欠陥によるものであることを確認した。
彼は、「ユーザー組織に対して推奨するのは、公式チャネルを通じて CrowdStrike の担当者と確実に連絡を取ることである。我々のチームは、CrowdStrike 顧客のセキュリティと安定性を確保するためにフル動員されている」と述べている。
George Kurtz は、修正プログラムが利用可能であり、最新のアップデートについて、サポート・ポータルにアクセスするよう顧客に勧めている。
source: George Kurtz
CrowdStrike は更新された声明の中で、問題のあるチャネル・ファイル “C-00000291*.sys タイムスタンプ 0409 UTC” は元に戻された。問題が修正されたバージョンは “C-00000291*.sys タイムスタンプ 0527 UTC 以降”であるとしている。
さらに同社は、クラウドおよび仮想環境で、この問題に対処するための2つのオプションを提供している。1つ目は 04:09 UTC 以前のスナップショットにロールバックする方法である。2つ目の選択肢は、以下の 7-Steps の手順である:
- 影響を受けた仮想サーバから OS のディスク・ボリュームを切り離す。
- ディスク・ボリュームのスナップショットまたはバックアップを作成する。
- 新しい仮想サーバにボリュームをアタッチ/マウントする。
- “WINDIR%System32” の CrowdStrike ディレクトリに移動する。
- “C-00000291*.sys” に一致するファイルを探し出して削除する。
- 新しい仮想サーバからボリュームをデタッチする。
- 影響を受けた仮想サーバに固定ボリュームを再接続する
世界各地の航空会社や病院で障害が発生
しかし、この修正が行われた時点で、複数の業種にまたがる多数の大企業は、すでに影響を受けていた。
いくつかの報告によると、CrowdStrike のアップデートは、ニューヨーク州 (救急/警察/消防署) や、アラスカ州とアリゾナ州とカナダの、一部の 911 救急サービス機関に影響を与えたという。イリノイ州の 911 テレコミュニケーターは、復旧するまで紙ベースで作業していると語っている。また、スペインのカタルーニャ地方の健康ホットラインが影響を受けており、緊急時以外には 061 に電話しないよう、当局は市民に呼びかけているとのことだ。
オランダの放送局 NOS は、この不具合でスキポール空港に混乱が生じ、KLM や Transavia などの数便が、地上待機を余儀なくされたと伝えている。メルボルン空港は、「世界的な技術的問題により、一部の航空会社のチェックイン手続きに影響が出ている。最も影響を受けているのは、Jetstar と Scoot の国際便で出発する乗客である」と述べている。
数時間前のチューリッヒ空港からの最新情報は、「すでに飛行中の、チューリッヒを目的地とする便は着陸を許可されている。現在、チューリッヒ空港に向けて離陸する航空機はなく、また、米国へ向けた出発便はない」というものだった。
さらに、世界の各地で遅延やキャンセルが発生しており、それぞれの航空会社の乗客には、手動でチェックインする必要性が生じている。具体的には、ベルリン/バルセロナ/ブリスベン/エジンバラ/アムステルダム/ロンドンの空港が影響を受けている。
米国では、連邦航空局が American Airlines/ United/Delta などに対して、IT システムに影響を及ぼす技術的問題が解決するまで、地上待機を支援するよう要請している。ニューヨークの JFK/ラガーディア空港では、CrowdStrike のアップデート障害でフライトが停止し、乗客が立ち往生している。
オランダでは、エメンのシェパー病院および、アハテルフックのスリンゲランド病院、ホーゲフェーンとスタッズカナールの救急病院も影響を受けている。バルセロナでは、テラサ大学病院とカタルーニャ腫瘍学研究所が、この問題により未明に機能を停止したが、いまは通常の活動に戻り始めている。米国では、ニューヨークのベルビュー病院と、ニューヨーク大学ランゴン病院も影響を受けている。
金曜の朝には、Sky News や ABC などの、複数のテレビ局やニュース局が、コンピュータのクラッシュによる混乱に見舞われた。
CrowdStrike のアップデートの直後から、何万台、何十万台ものコンピューターがクラッシュし、それぞれの組織に影響が出たことについて、多くのユーザーが Reddit で不満をぶちまけ始めた:
- マレーシアでは 70% のラップトップがダウンし、起動不能に陥っている。
- オーストラリアの5万台のワークステーションとサーバが落ちた。
- 会社全体がオフラインで、会社全体がダウンしている。
- 会社の半分がダウンしている。AWS のサーバにも影響が出ている。
- IT 部門の半分がロックアウトされている。
- NZ でも大問題。全社的な障害がサーバやワークステーションで発生。
- フィリピンと中国の拠点をサポートしているが、どこも状況は同じだ。
すでに CrowdStrike は修正プログラムを配布し、クラッシュした Windows ホストに対する回避策を提供している。だたし、しばらくの間は、この問題の影響を、それぞれの組織は感じるだろう。
さまざまな領域で責任を持つ、数多くの管理者たちは、長い週末を過ごすことになるだろう。特に、数万台から数十万台の規模でコンピュータ群とリモート・ワーカーを抱えている場合や、オフプレミスのデータセンターを管理する場合、そして、セーフモードで起動できないクラウド環境では、なおさらである。
Update [July 19, 09:59 ET]: クラウドおよび仮想環境に対する緩和策の詳細を記載する編集した。
テレビのニュースでも、繰り返して報道されるという、世界中に影響をもたらす、大規模なシステム停止が生じました。原因と対処法が記されていますが、さまざまな現場で、これを修復するのは、かなり難しいことだと思います。まだ、続報があると思いますので、追いかけていきます。
Microsoft:Helping our customers through the CrowdStrike outage
IoT OT Security News 
You must be logged in to post a comment.