史上最大のIT障害を引き起こしたクラウドストライク「ファルコン」の正体

What is CrowdStrike Falcon and what does it do? Is my computer safe?

2024年7月24日（水）17時18分

トビー・マリー（メルボルン大学情報工学部准教授）

ウィンドウズが再起動を促すときの画面、ブルースクリーン。今回の障害では「死のブルースクリーン」と呼ばれる現象が起こった　Dmitriy Domino-Shutterstock

＜大規模システム障害の原因となったのは、クラウドストライク社の高性能セキュリティ・ソフトウエア「ファルコン」だった。大企業のシステムを守るためのソフトが世界的な大混乱を引き起こす皮肉はなぜ起こったのか＞

7月19日、大規模なシステム障害が世界中のコンピュータ・システムに影響を及ぼした。オーストラリアとニュージーランドでは、銀行、報道機関、病院、交通機関、商店のレジ、空港などのコンピュータがすべて影響を受けたと報告されている。

今回の障害は、規模と深刻さという点で前例がない。影響を受けたコンピュータに起きた現象は、専門用語で「文鎮化」といわれる。障害によってコンピュータがまったく使い物にならなくなり、少なくともその時点では「文鎮」になったも同然であることを意味する。

広範囲にわたる今回の障害は、クラウドストライク社のファルコンというソフトウェアに関連している。ファルコンとはなにか、なぜこれほど広範囲に混乱を引き起こしたのだろうか？

Something super weird happening right now: just been called by several totally different media outlets in the last few minutes, all with Windows machines suddenly BSoD'ing (Blue Screen of Death). Anyone else seen this? Seems to be entering recovery mode: pic.twitter.com/DxdLyA9BLA
— Troy Hunt (@troyhunt) July 19, 2024

ファルコンとは何か？

クラウドストライクは、世界のテック市場で有数のシェアを誇るアメリカのサイバーセキュリティ企業。ファルコンは同社のソフトウェア製品で、大規模な組織がサイバー攻撃やマルウェアからコンピュータを守るために使われる。

ファルコンは、いわゆる「エンドポイント検出・対応」（EDR）ソフトウェアともいわれる。その機能は、インストールされているコンピュータ上で何が起きているかを監視し、（マルウェアなどの）悪意のある活動の兆候を探すことだ。何か怪しいものを検出すると、脅威の抑止を支援する。

それはつまり、ファルコンがいわゆる「特権ソフトウェア」であることを意味する。攻撃の兆候を検知するために、ファルコンはコンピュータを詳細に監視しなければならない。そのため、多くの内部システムにアクセスできる権限を付与されている。そのなかには、コンピュータがインターネット経由で送信している通信だけでなく、どのようなプログラムが実行されているか、どのようなファイルが開かれているかなど、多くのことが含まれる。

ファルコンは従来のアンチウイルスソフトに少し似ているが、その意味でより強力になっている。

ファルコンにはさらに、脅威を抑止する能力もある。例えば、ファルコンが監視しているコンピュータがハッカーの可能性がある人物と通信していることを検知した場合、ファルコンはその通信をシャットダウンできる。それは、ファルコンが実行されているコンピュータの中核ソフトウェアであるマイクロソフト・ウィンドウズと緊密に統合されていることを意味する。

ファルコンに起因するコンピュータの障害いついて情報を更新するクラウドストライクのウェブサイト　The Conversation/Crowdstrike

障害が起きた理由

この特権と緊密な統合が、ファルコンを強力なものにしている。だがそれはまた、ファルコンが誤作動すると、深刻な問題を引き起こす可能性があることも意味している。今起きている障害は、最悪の事態だ。

現在わかっているのは、ファルコンのアップデートが原因の誤作動によって、ウィンドウズ10のコンピュータがクラッシュして再起動に失敗し、恐ろしい「死のブルースクリーン」（BSOD）の出現につながったということだ。

BSODは、ウィンドウズ・コンピューターがクラッシュし、再起動が必要になったときに出てくる真っ青な画面の愛称だ。今回の場合、何度再起動しても、BSOD画面が現れる事態となった。

Sydney Airport flight displays have all BSOD'd. #microsoft #crowdstrike pic.twitter.com/ZL9QwGdi1a
— techAU (@techAU) July 19, 2024

ファルコンはなぜ普及した？

クラウドストライクはEDRソリューションのマーケットリーダーだ。つまり、ファルコンをはじめとする同社製品は広く普及しており、サイバーセキュリティを意識する多くの組織が採用している可能性が高い。

今回の障害が示すように、これには病院、メディア企業、大学、大手スーパーマーケットなどが含まれる。影響の全容はまだ明らかになっていないが、世界的な規模であることは間違いない。

家庭用PCは影響なし

クラウドストライクの製品は、サイバー攻撃から身を守る必要がある大規模組織では広く導入されているが、一般家庭のPCで使用されることはあまりない。

これはクラウドウトライクの製品が大規模組織向けにカスタマイズされているためだ。同社のツールは、攻撃の兆候がないかネットワークを監視し、侵入にタイムリーに対応するために必要な情報を提供する役目を果たしている。

ホームユーザーには、ＰＣに内蔵されているウイルス対策ソフトや、ノートンやマカフィーといった企業が提供するセキュリティ製品の方が、はるかに人気がある。

From #SydneyAirport to local #Woolworths stores, systems have been ground to a halt due to the global internet system crash.

MORE INFO: https://t.co/zebf5xj10R pic.twitter.com/bM1zCtZULw
— The Daily Telegraph (@dailytelegraph) July 19, 2024