CrowdStrike への法的圧力の高まり:賠償責任への道が開かれる可能性は?

CrowdStrike’s Legal Pressures Mount, Could Blaze Path to Liability

2024/08/09 DarkReading — CrowdStrike のアップデートの失敗により、さまざまなビジネスが妨げられ、人々の旅行の計画が混乱し、フランスとイギリスでは放送局がオフラインになった。したがって、このインシデントには、ソフトウェアの責任という、別の目的地へとつながる可能性もある。


法律の専門家たちの間では、CrowdStrike は利用規約により、顧客が支払った製品代金以上の金額を払い戻す必要がないよう保護されており、今回の “Channel File 291 インシデント” におけるソフトウェアの責任は、限定的なものになるだろうという、全体的なコンセンサスが形成されている。その一方で、被害を受けた企業や消費者が、損害を回復する手段を持ち得ないという事実が、今回のような混乱に対する企業の責任を追及する、法律や規制に弾みをつけるだろうと、フォーダム大学の Chinmayi Sharma 准教授は言う。

彼女は、「これは、重要インフラの保護と消費者保護の観点から、ソフトウェアの責任の強化が急務であることの理由を示す、きわめて興味深く、また、重要な事例である。ユーザー/ライセンシー/ソフトウェアの購入者/第三者が、ソフトウェア・メーカーに対して訴訟を起こすことを阻む、巨大な障壁が既存の法理には存在する」と述べている。

7月19日に CrowdStrike は、Windows の機能である “named pipes” を使用して、新たな攻撃を検出するためのセンサーのアップデートをプッシュした。8月6日の同社による 根本原因分析 (root-cause analysis) よると、この Channel File numbered 291 のアップデートは、21件の入力パラメータを定義していたが、インテグレーション・コードは 20件の入力値を照合する仕組みになっていた。この食い違いが、境界外のメモリ読み込みを引き起こし、アップデートを受け取った Windows システムが、Blue Screen of Death に至った。

この間違ったアップデートは、850万台のコンピューターに影響を及ぼし、Fortune 500に対して少なくとも $5.4 billion の損害を与えたが、その中でも、数多くの航空会社やヘルスケア企業に業務停止を引き起こすことになった

8月8日に SEC に提出された声明で、最大の被害を受けたデルタ航空は、キャンセルされたフライトの顧客に対する払い戻しによる、収益へのダイレクトな影響としての $380 million と、復旧費用における $170 million を主張している。インシデント後の5日間で同社は、7000便をキャンセルして顧客を怒らせた。しかし、その見返りは、キャンセルによる燃料費 $50 million の節約に過ぎなかった。

デルタ航空の CEO Ed Bastian は、「これほどの期間と規模で、運航を中断せざるを得なかったことは容認できない。当社は、CrowdStrike と Microsoft に対して、この障害から生じた損害を回復するための、法的請求を行っている」と、SECへの申請書で述べている。

すでに始まっている訴訟

CrowdStrike の株価は、問題のアップデートの前日である 7月18日の $343 から、8月2日の $218 へと 36% 以上も急落したが、その後には、デルタ航空だけでではなく、投資家からの集団訴訟に直面している。

このインシデントに関連する訴訟では、CrowdStrike だけでなく、デルタ航空に対しても、数多くの株主訴訟が引き起こされている。現在の訴訟の一例は、以下のとおりである:

このインシデントは、米下院の国土安全保障委員会の調査につながった。

投資家の訴訟と政府の調査は異なる目的を持つが、デルタ航空や中小企業などの原告は苦しい戦いを強いられるだろう。CrowdStrike の弁護士が、デルタ航空に対して書簡で指摘したように、ユーザー企業として説明する必要があるのは、確立された契約における責任制限が無効である理由と、システム停電からの回復における全ての行動の詳細、そして、自社のインフラが回復力を持っていることを示す方式となる。

CrowdStrike の弁護士は、「デルタ航空が訴訟を起こすという、公然の脅しをかけたことで、私たちの復旧作業から目が逸らされ、デルタ航空の IT に関する意思決定や障害への対応に、CrowdStrike が責任を負っているという、誤解を招くようなシナリオが助長された。いまの延長線上でデルタ航空が訴訟を継続するのなら、CrowdStrike は迅速かつ透明性をもって、建設的な行動に責任を持ったが、デルタ航空が責任を取らなかった理由が、一般市民/株主/陪審員に対して説明される必要がある」と、書簡の中で述べている。

急増する株主訴訟については、どうなるのだろう? CrowdStrike の広報担当者は、「訴訟には根拠がないと考えており、当社の賠償の義務がないことを積極的に主張していく」と、Dark Reading に語っている。

ソフトウェアの責任に関する長い道のり

とは言え、今回の障害と法的な影響は、ソフトウェア企業の製品責任を問う取り組みに拍車をかけるかもしれないが、それで終わる可能性が高い。現時点において、ソフトウェア・メーカーを相手取って裁判を起こすのは、きわめてハードルが高く、大半の弁護士は訴訟の意欲さえ失っていると、フォーダム大学の Chinmayi Sharma は言う。

彼女は、「これらの裁判が行方により、これらの障壁の高さや、改革すべき事柄などについて、多くの見識が得られるだろう。このようなインシデントに関連する判例は、あまり存在しない。したがって、障壁の輪郭が正確に把握する上で、一連の訴訟は規範的なものになるだろう」と述べている。

現時点において、ソフトウェアの法的責任は、かなり険しい状況にある。デルタ航空/CrowdStrike/Microsoft 間の相互作用が示すように、”ソフトウェア・メーカーは安全ではないソフトウェアに責任を負わなければならない” という、表面的には単純な問題であっても、誰が責任を負うのかとなると、すぐに問題は複雑化していくだろう。

ソフトウェアの責任に関する法律や規制は、この問題を含めて、その他の多数の問題を解決しなければならない。

Atlantic Council の Cyber Statecraft Initiative は、今年の初めに発表した 32 ページの分析で、「ソフトウェア・セキュリティは “責任共有” の問題であり、開発者に加えてソフトウェアの利用者も、自らのセキュリティ慣行を通じて、サイバー・セキュリティの結果を大きく左右する。被害を受けた当事者の行動が、有害な結果に大きく寄与した場合には、すでに存在する “比較過失” の概念が適用される。政策の立案者は、特定の政策目標とのバランスを取るために、ソフトウェアの文脈の中に、この概念を明示的に当てはめることを望むかもしれない」述べている。

しかし、仮にソフトウェア責任に関する規制が設けられたとしても、CrowdStrike における要件は、それを上回る可能性が高いと、Sonatype の CTO である Brian Fox は言う。彼は、「比較的小さなミスの積み重ねが、最終的な要因を落とし込んだときに、衝突に至った。同社がアップデートをテストしていなかったという声もあるが、それよりも、同社が起こり得る全てのシナリオを想定していなかったという可能性の方が高い。よくある失敗である」と指摘する。

さらに Brian Fox は、「企業におけるリスク・テイクのバランスを、顧客のために取り戻すための改革を、この業界は強く必要としている。しかし、今回の問題が、どのように展開するにしても、改革のためのケース・スタディの一部に過ぎないだろう。残念なことに、このようなケースがソフトウェア業界では繰り返される。私たちが、なぜ厳格な責任基準を準備できていないのかを、浮き彫りにしている」と締め括っている。

CrowdStrike のインシデントを巡る報道も、原因や被害が明らかになると、Delta を中心とした訴訟に関する話題に移行しています。これまで、さまざまな断片的な情報が提供されてきましたが、今日の DarkReading は、ソフトウェアの免責などを背景とした、まとめ記事となっています。よろしければ、以下のリストも、ご参照ください。

2024/08/08:Falcon Sensor のバグは悪用が可能:CrowdStrike は否定
2024/08/06:$500M の損害を主張するデルタ航空:Microsoft が反撃
2024/08/06:Falcon の BSOD クラッシュ分析のレポートが公開
2024/08/05:Crowdstrike 障害:デルタ航空は無償支援を拒否した?
2024/07/31:CrowdStrike を 巡る訴訟: Microsoft も巻き込む Delta
2024/07/27:Fortune 500 の損失額は $5.4B に達する – CrowdStrike