史上最大のIT障害を引き起こしたクラウドストライク「ファルコン」の正体
7月19日、大規模なシステム障害が世界中のコンピュータ・システムに影響を及ぼした。オーストラリアとニュージーランドでは、銀行、報道機関、病院、交通機関、商店のレジ、空港などのコンピュータが影響を受け、障害がファルコンというソフトウェアに関連していることが判明した。
ファルコンはサイバーセキュリティ企業のクラウドストライクが提供するEDRソフトウェアで、コンピュータを監視し悪意のある活動の兆候を探す。今回の障害は、ファルコンのアップデートが原因でウィンドウズ10のコンピュータがクラッシュし、深刻な問題を引き起こした。
クラウドストライクがEDRソリューションのマーケットリーダーであることから、多くの組織が同社製品を使用しており、問題解決には時間がかかる可能性がある。今回の事件は、セキュリティ技術の矛盾を浮き彫りにし、注意喚起となった。
7月19日、大規模なシステム障害が世界中のコンピュータ・システムに影響を及ぼした。オーストラリアとニュージーランドでは、銀行、報道機関、病院、交通機関、商店のレジ、空港などのコンピュータがすべて影響を受けたと報告されている。【トビー・マリー(メルボルン大学情報工学部准教授)】
今回の障害は、規模と深刻さという点で前例がない。影響を受けたコンピュータに起きた現象は、専門用語で「文鎮化」といわれる。障害によってコンピュータがまったく使い物にならなくなり、少なくともその時点では「文鎮」になったも同然であることを意味する。
広範囲にわたる今回の障害は、クラウドストライク社のファルコンというソフトウェアに関連している。ファルコンとはなにか、なぜこれほど広範囲に混乱を引き起こしたのだろうか?
<ファルコンとは何か?>
クラウドストライクは、世界のテック市場で有数のシェアを誇るアメリカのサイバーセキュリティ企業。ファルコンは同社のソフトウェア製品で、大規模な組織がサイバー攻撃やマルウェアからコンピュータを守るために使われる。
ファルコンは、いわゆる「エンドポイント検出・対応」(EDR)ソフトウェアともいわれる。その機能は、インストールされているコンピュータ上で何が起きているかを監視し、(マルウェアなどの)悪意のある活動の兆候を探すことだ。何か怪しいものを検出すると、脅威の抑止を支援する。
それはつまり、ファルコンがいわゆる「特権ソフトウェア」であることを意味する。攻撃の兆候を検知するために、ファルコンはコンピュータを詳細に監視しなければならない。そのため、多くの内部システムにアクセスできる権限を付与されている。そのなかには、コンピュータがインターネット経由で送信している通信だけでなく、どのようなプログラムが実行されているか、どのようなファイルが開かれているかなど、多くのことが含まれる。
ファルコンは従来のアンチウイルスソフトに少し似ているが、その意味でより強力になっている。
ファルコンにはさらに、脅威を抑止する能力もある。例えば、ファルコンが監視しているコンピュータがハッカーの可能性がある人物と通信していることを検知した場合、ファルコンはその通信をシャットダウンできる。それは、ファルコンが実行されているコンピュータの中核ソフトウェアであるマイクロソフト・ウィンドウズと緊密に統合されていることを意味する。
<障害が起きた理由>
この特権と緊密な統合が、ファルコンを強力なものにしている。だがそれはまた、ファルコンが誤作動すると、深刻な問題を引き起こす可能性があることも意味している。今起きている障害は、最悪の事態だ。
現在わかっているのは、ファルコンのアップデートが原因の誤作動によって、ウィンドウズ10のコンピュータがクラッシュして再起動に失敗し、恐ろしい「死のブルースクリーン」(BSOD)の出現につながったということだ。
BSODは、ウィンドウズ・コンピューターがクラッシュし、再起動が必要になったときに出てくる真っ青な画面の愛称だ。今回の場合、何度再起動しても、BSOD画面が現れる事態となった。
<ファルコンはなぜ普及した?>
クラウドストライクはEDRソリューションのマーケットリーダーだ。つまり、ファルコンをはじめとする同社製品は広く普及しており、サイバーセキュリティを意識する多くの組織が採用している可能性が高い。
今回の障害が示すように、これには病院、メディア企業、大学、大手スーパーマーケットなどが含まれる。影響の全容はまだ明らかになっていないが、世界的な規模であることは間違いない。
<家庭用PCは影響なし>
クラウドストライクの製品は、サイバー攻撃から身を守る必要がある大規模組織では広く導入されているが、一般家庭のPCで使用されることはあまりない。
これはクラウドウトライクの製品が大規模組織向けにカスタマイズされているためだ。同社のツールは、攻撃の兆候がないかネットワークを監視し、侵入にタイムリーに対応するために必要な情報を提供する役目を果たしている。
ホームユーザーには、PCに内蔵されているウイルス対策ソフトや、ノートンやマカフィーといった企業が提供するセキュリティ製品の方が、はるかに人気がある。
<解決には時間がかかる>
現段階では、クラウドストライクは、影響を受けた個々のコンピュータで問題を解決する方法をマニュアルで説明している。
だが、本稿執筆時点では、この問題を自動的に解決する方法はまだないようだ。一部企業のITチームは、影響を受けたコンピュータの中身を消去し、バックアップなどから復元するだけで、この問題を迅速に解決できるかもしれない。
場合によっては、組織のコンピュータ上で影響を受けたファルコンのバージョンを「ロールバック」(以前のバージョンに戻すこと)することができるかもしれない。あるいは、組織のコンピュータの問題を1台ずつ手動で修正しなければならない可能性もある。
多くの組織では、問題が完全に解決するまでにはしばらく時間がかかると考えるべきだろう。
この事件で皮肉なのは、セキュリティの専門家たちが何年も前からEDRのような高度なセキュリティ技術の導入を組織に促してきたことだ。しかし、まさにその技術が、ここ数年見たことがないほど大規模な障害を引き起こした。
クラウドストライクのように、非常に特権的なセキュリティ・ソフトウェアを販売している企業にとっては、自社製品に自動アップデートを導入する際には細心の注意を払うようにというタイムリーな注意喚起となった。
The Conversation
Toby Murray, Associate Professor of Cybersecurity, School of Computing and Information Systems, The University of Melbourne
This article is republished from The Conversation under a Creative Commons license. Read the original article.
