2024年7月19日に航空会社やテーマパーク、コンビニのWINDOWSパソコンがダウンして再起動できなかった現象が起こりました。
アメリカのセキュリティー会社のクラウドストライクの(CrowdStrike)Falconプラットフォームというエンドポイント保護ソリューションのアップデートファイルが原因のようです。
WINDOWSそのもの欠陥ではないので、FALCONを使用していないパソコンには被害はありません。
世界有数のセキュリティー会社なので、セキュリティを強化している多くの会社に採用されて稼働しているようです。
Falconプラットフォームとは
以下の機能と特長があるようです。
Falcon Prevent
機能: 次世代アンチウイルス機能。機械学習と人工知能を使用して、既知および未知のマルウェアを検出・防止。
特長: シグネチャベースの手法に頼らず、高度な攻撃にも対応。
Falcon Insight
機能: エンドポイント検出および対応 (EDR) 機能。エンドポイントのリアルタイム監視と詳細なフォレンジック分析を提供。
特長: インシデントの迅速な検出と対応を可能にし、攻撃の全体像を把握。
Falcon OverWatch
機能: マネージド脅威ハンティング。専門家による24/7の脅威監視と対応支援。
特長: 高度な攻撃に対するプロアクティブな防御を提供。
Falcon X
機能: サイバー脅威インテリジェンス。脅威の自動分析とレポート生成。
特長: 攻撃の詳細な情報を提供し、セキュリティ対応を支援。
Falcon Complete
機能: エンドツーエンドのセキュリティ運用サービス。包括的なセキュリティ管理と対応を提供。
特長: 専門家によるフルマネージドサービスで、企業のセキュリティを強化。
トラブルの原因
PC、サーバー、モバイルデバイスなどにインストールされているFalconセンサーというソフトウエアの更新版に不具合があったようです。
具体的には、タイムスタンプが 0409 UTC のチャネル ファイル "C-00000291*.sys" が問題のあるバージョンとのことです。
すでにバグは解消されており、0527 UTC 以降のチャネル ファイル "C-00000291*.sys" は問題がないとのことです。
復旧方法
WINNDOWSをセーフモードで立ち上げて、0409 UTC のチャネル ファイル "C-00000291*.sys"を削除する。その後通常モードで再起動して修正バージョンが配布されるまで待っていて更新すれば動作したようです。
あるいは、緊急時なのでFalconセンサーそのものを一時的にアンインストールして対応するというのも有りであったかも知れません。
今回の教訓
セキュリティーソフトやその他のソフトに不具合があり、システムがダウンすることは想定内であるにもかかわらず、こういった場合の対応が事前に訓練されていなかったので大きなトラブルになったと思われます。