CrowdStrike に対する米下院の公聴会：何が起こったのか？ これから どうするのか？

House lawmakers question CrowdStrike exec over July IT outage

2024/09/24 NextGov — 9月24日 (火) に下院議員たちが CrowdStrike の幹部に対して、この７月に発生した大規模な世界規模の IT 障害について、また、顧客の OS コアと同社のサイバー・セキュリティ・ソリューションを結びつける必要性の有無について質問した。Homeland Security Committee のサイバー・セキュリティ小委員会で、この夏に約 850万台の Windows マシンに障害をもたらした、同社の欠陥のあるアップデートの導入を精査するという注目の公聴会で証言したのは、CrowdStrike の敵対者対策担当 VP の Adam Meyers である。

2024年7月19日の障害は、顧客のデバイスを通過する疑わしい活動を分類するために、サイバー・セキュリティ企業が使用する社内システムの2024年2月のオーバーホールに関連していた。この論理エラーにより、欠陥のあるアップデートが発生し、世界中のる連邦機関／銀行／航空などの重要なサービスに影響を及ぼし、恐ろしい “Blue Screen of Death” へと導いた。

Adam Meyers は、「CrowdStrike の全員を代表して、お詫び申し上げる。このような事態が発生したことを、深く遺憾に思っており、再発防止に努める」と述べた。その上で、「影響を受けた Windows センサーの 100％ 近くが、7月下旬の時点でオンラインに戻った」と、同氏は付け加えている。

標的ネットワークに侵入するハッカーにとって、入り口となることが多い PC やスマフォといったエンドポイント・デバイスの保護において、CrowdStrike は検出と対応の先駆者となった。同社の主力プラットフォームである Falcon は、デバイスのあらゆるレベルにおいて、また、ネットワークに接続されたデバイス全体において、クライアント・システムへのハッカーによる不正アクセスを阻止するように設計されている。

それを実現する Falcon は、オペレーティング・システムが配置されているルート・レイヤー対して、つまり、カーネル・レベルにおいて、コンピューターと接続する。したがってインストール後の Falcon は、クライアント・デバイスの重要な部分への完全なアクセスを達成し、あらゆるポイントで脅威の動きを阻止していく。しかし、今回の欠陥のあるアップデートは、その展開前に製品コードをチェックする、同社のテスト構造の隙間をすり抜けた。

Adam Meyers は、「チェス盤のマス目がない場所に、駒を動かそうとする状況を想像してほしい。それがセンサー内部で、実際に起こったことだ」と、不正プッシュの根本原因を説明した。

公聴会が終了した後も議論が続いている主要な分野は、クライアント・システムのカーネル・レベルへ向けて、ダイレクトにアップデートを発行することが本当に必要かどうかである。Adam Meyers は、アップデートは AI 主導ではなく、標準の手順に従ったものだと述べている。そして、失敗したアップデート中に使用されたセットアップが、依然として最良の展開方法であることを強調し、この夏のインシデントを “最悪の事態” と表現した。

フロリダ州選出の共和党議員 Laurel Lee から代替案の可能性について尋ねられた際に、「ユーザー・モードで物事を行うことも可能だが、セキュリティの観点からすると、カーネルに侵入した脅威アクターが、セキュリティ製品／機能を無効化しないように監視するために、カーネルの可視性は、間違いなく重要である」と、彼は回答している

先日に Microsoft は、テクノロジー業界の関係者と政府関係者を集めて、Windows システム・ルートに縛られることなく、セキュリティ・ベンダーが機能できるようにする、標準的な実装をスタートすると宣言している。

委員会の筆頭メンバーであり、カリフォルニア州選出の民主党議員である Microsoft が目標とするタイム・ラインについて興味があると、公聴会に集まった記者団に対して語っている。

Eric Swalwell は、「常に１つのリスクと別のリスクとを交換していることも、私は認識している。だからこそバランスを取る必要がある。その日に、私も出張に遅れた。しかし、結局のところ、彼らには成功してもらいたい。彼らは、広範囲に及ぶ大手ベンダーの１つである。したがって、何が起こったのかを理解し、彼らに責任を負わせると同時に、彼らが成功するために、何ができるかを学ぶことは、誰にとっても有益なことになる」と述べている。

以前において専門家たちは、「CrowdStrike インシデントにより、ハッカーに複数のチャンスが生まれ、このサイバー・セキュリティ企業と取引のある顧客や重要インフラの基盤を、意図せず把握することができた」と、Nextgov/FCW に対して語っている。

CrowdStrike への公聴会が行われたようです。その前の段階で、Microsoft は ”outside of kernel mode” を提示していましたが、CrowdStrike は拒否しているような感じですね。これから、いろいろなことが起こりそうです。よろしければ、以下のリストを、ご参照ください。

2024/09/13：Windows カーネル連携方法の再設計を Microsoft が発表
2024/09/09：セキュリティ・ツール導入：CS の失敗から得るものは？
2024/08/30：CrowdStrike：９月の米下院の委員会で幹部が証言