トップ画像は、「職場のpcがブルースクリーンになり、頭を抱える人たちの絵」です。ディスプレイが利用者ではなく、絵を見ている人のほうを向いている絵ばっかりで3つ没です。
7/19に世界的に発生した、WindowsPCがブルースクリーンになってしまう問題。Xを眺めてると、CrowdStrike社は本当にテストせずにプログラムを本番環境にリリースしたのか、疑問に思う人がいるようなので、該当会社のブログを引用しつつ、ひとつの記録として実際の現場で起こったことを説明しようと思う。月曜日に同僚や上司との会話のきっかけになればうれしいです。一人情シスのCrowdStrike導入会社はいないと信じたいけど、万が一いたら声をかけてくれれば、できる限り協力します。
私が調査した拠点には、CrowdStrikeをインストールしたPCが20台。Intune導入のものもあれば、そうでないものもある混在環境。そのうち、ブルースクリーンに、
①なったものが15台
②ならなかったものが5台
③なったけど、再起動してるうちになおったものが5台
④7/17以前の復元ポイントを利用してなおったものが3台
あった。ここまで読んで、「やっぱりならなかったPCがあるなら、ちゃんとCrowdStrike社は配布前にテストしたけど、インシデントが発生しなかったんじゃない?」と考える人がいるかも知れない。私も最初はそう考えた。そこで私はCrowdStrike社が提供するサポート情報から、今回のブルースクリーンはを起こす原因が、”C:\Windows\System32\drivers\CrowdStrike\”にあるファイル名「C-00000291-」で始まり「.sys」で終わるものであることを知った。
ただし、291まで同じでも、ブルースクリーンを起こすものと起こさないものがある。上で述べた②には、起こさないものが1ファイルだけ存在した。そして③のPCには起こす「C-00000291-*.sys」と、起こさない「C-00000291-*.sys」が混在していたことを見つけた。なお、①については確認できていない。
CrowdStrike社のブログには、
・タイムスタンプが 2024-07-19 0527 UTC 以降のチャネル ファイル "C-00000291*.sys" は、元に戻された (正常な) バージョンです。
⇒日本時間(UTC+9)だと7/19 14:27
・タイムスタンプが 2024-07-19 0409 UTC のチャネル ファイル "C-00000291*.sys" が問題のあるバージョンです。
⇒日本時間(UTC+9)だと7/19 13:09
とある。つまり、問題のあるファイルは、「7/19 13:09以降に配布された。」問題のないファイルは、「7/19 14:27以降に配布された。」ことを示している。起きなかったPCは、その時間にたまたま問題のあるファイルを何らかの理由で受け取らなかっただけで、このファイルを食らって問題が起きないPCなどないのだ。
あるPCは、そのとき起動していなかったかもしれない。またあるPCは、そのときネットワークから切断されていたかもしれない。
問題のあるファイルはPCに配布されたほぼその瞬間に、ブルースクリーンを発生させてしまうのだから。
Microsoftの発表によると、全世界で850万台のPCがこの影響を受けたという。ここまで頑張って原因分析、復旧、代替手段の検討などを行っているシステム部門の皆様には感謝しかない。
今判明している事実から、私が考えるCrowdStrike社の問題は以下の通り。
・配布直後にシステムを停止させてしまうファイルを作成した
⇒そもそもこのようなファイルを作らなければ本インシデントは発生しなかった
・自社製品に配布(=本番環境へリリース)する前に、一部、またはすべてのファイルをテストしていない
⇒すべてのファイルをテストしていれば本インシデントは発生しなかった
・本番環境へのリリースに、問題があることを検知する仕組みがない
⇒上記2つを通過したとしても、ここで止めればインシデントは発生しなかった
これだけのことをやらかした会社のCEOが、SNSで最初に言ったのは、「これはセキュリティインシデントやサイバー攻撃ではない」である。
ちなみに、この会社。今年の4月にDebian Linuxに対して同じようなインシデントを発生させているらしい。
■補足
Intune環境でBitLockerの回復キーがわからないと、お悩みの方もいるかもしれません。しかし、実際には再起動を繰り返すうち、1/3ぐらいの端末はトラブルから回復しています。おそらくですが、Windows起動からブルースクリーン発生までのわずかな時間に、WindowsHelloの認証やセーフモードなど、様々な割り込みを発生させ、その間に7/19 14:27以降に配布されたC-00000291-*.sysを読み込んだことによるものと思われます。
あとは当たり前ですが、7/19 13:09時点で起動していなかったパソコンは、これから起動しても7/19 14:27以降のファイルを読み込みますので、トラブルは起こらないので安心してください。
このような技術的なお話も絡めたお仕事をやっております。トラブル解決、記事執筆等、ご依頼ございましたらぜひとも一度お声をおかけください。
