更新されたCrowdStrikeの株価は現在、同社経営陣が疑わしいチャネルファイルのせいだと主張した大規模な世界的IT障害のさなか、急落している。
本稿執筆時点では、世界最大級の組織にセキュリティサービスを提供する同社が顧客との問題解決に取り組んでいるため、株価は19%以上下落している。
CrowdStrikeの株価が急落 - クリックして拡大
本日のフライトを希望されている方は、連邦航空局(FAA)が主要航空会社の運航を当面の間停止したため、問題に直面する可能性があります。ユナイテッド航空、デルタ航空、アメリカン航空が対象となり、イギリスの格安航空会社ライアンエアーも混乱に見舞われています。
ライアンエアの声明によると、「影響を受ける乗客には通知いたします。7月19日(金)にこの路線をご利用の乗客は、ライアンエアのアプリで最新のフライト情報をご確認ください。ご搭乗便の3時間前までに空港に到着されることをお勧めします」とのことです。
「このサードパーティのIT問題はライアンエアーの管理外であり、ネットワーク全体で運航するすべての航空会社に影響を与えるため、乗客にご不便をおかけしたことをお詫び申し上げます。」
FAAの広報担当者はThe Registerに送った声明の中で次のように述べた。
FAAは、通常運航の再開に向けて各航空会社と緊密に連携し取り組んでいます。各航空会社が残存する技術的問題の解決に取り組むため、各空港で断続的に地上停止や遅延が発生する場合があります。詳細については各航空会社にお問い合わせください。また、リアルタイムの空域更新情報については、www.fly.faa.govをご覧ください。
地域的な視点から見ると、エディンバラ空港ではCrowdStrikeインシデントの影響で待ち時間が長くなっており、より広範な報告によると、空港全体で出発案内板がダウンしているようです。ベルリン空港のチェックインサービスも影響を受けています。
被害者リストは指で入力するよりも速いペースで増え続けています。他に影響を受けたことが確認されている空港には、ヒースロー空港、ガトウィック空港、マンチェスター空港、スタンステッド空港、ルートン空港、スペイン全土の空港、そしてスイスポート空港が含まれます。
英国の保健医療サービスはここ数週間で十分な打撃を受けていないかのように、今朝BBCラジオ4のToday番組に寄せられたブリストルの住民からの手紙によると、彼らは地元の一般開業医(GP)の診療所で医師の診察の予約が取れないという。
西ロンドンにあるパトニーミード総合診療所はウェブサイトを更新し、中核となる医療管理システムに影響が出ており、オンラインでの診療依頼が制限されていると発表しました。電話回線も一時的に不通となっていますが、診療所は営業を続けています。
Putneymead Group GPウェブサイト停止メッセージ – クリックして拡大
レジスター紙は国民保健サービス(NHS)にこの件について問い合わせ、声明の中で、全国の医療機関で使用されているEMISシステムにIT問題が発生していると説明した。
「NHSは、世界的なIT障害と、予約・患者記録システムであるEMISの問題を認識しており、これが一般開業医の大半の診療に混乱を引き起こしている」と声明は述べた。
「NHSは、紙の患者記録や手書きの処方箋の使用、かかりつけ医に連絡するための通常の電話システムなど、混乱を管理するために長年対策を講じてきました。
「現時点では、999番や緊急サービスへの影響は確認されていないため、人々は通常通りこれらのサービスを利用できます。
患者様は、特に指示がない限り、診察にお越しください。緊急の場合のみかかりつけ医にご連絡ください。それ以外の場合は、オンラインまたは111番にお電話ください。
重要なサービスといえば、英国ではさまざまな鉄道路線で混乱が起きている。具体的には、テムズリンク、サザン、ガトウィック・エクスプレス、グレート・ノーザンの各線を運営する英国最大の鉄道フランチャイズであるゴヴィア・テムズリンクが運営する路線だ。
広報担当者は、「今朝、お客様にご迷惑をおかけしましたことをお詫び申し上げます。これは、複数の企業や業界に影響を及ぼしている世界的なIT問題によるものです。お客様には、最新の旅行情報を当社のウェブサイトでご確認いただき、ご旅行前にご確認いただくようお願いいたします」と述べました。
影響を受ける他の鉄道路線には、アヴァンティ・ウェスト・コースト、グレート・ウェスタン・レールウェイ、ハル・トレインズ、ルモ、トランスペナイン、ウェスト・ミッドランズ・レールなどがある。
アメリカでは、一部の州で911緊急通報サービスが停止しているという報道があります。今のところ、オハイオ州、アラスカ州、アリゾナ州、ミネソタ州、インディアナ州、ニューハンプシャー州が影響を受けていると考えられています。恐ろしい事態です。
そして、ニュースサービスにアクセスできない投資銀行家たちのことも忘れてはなりません。ロンドン証券取引所(LSE)の取引は問題なく、心配は無用です。しかし、規制ニュースサービス(RNS)がダウンしているため、企業はデータ漏洩の報告をその日最大のニュースの陰に隠すことさえできません。
それで、何が起こっているんですか?
障害の原因は完全には確認されていないが、世界中の組織から信頼されているベンダーの主力EDRソリューションであるCrowdStrike Falconのチャネルファイルの欠陥が原因であるという説が有力である。
完全な勧告はCrowdStrikeの有料顧客に公開されているが、同社のマネージドハンティングサービスOverWatchのディレクター、ブロディ・ニスベット氏は、疑わしいコンテンツの更新は元に戻されたと述べた。
つまり、今後新たなBSODは発生しないはずですが、既に発生したダメージを回復することはできません。これは、金曜日に最悪の事態を経験すること間違いなしのIT管理者の仕事です。作業が週末まで持ち越されないことを祈ります。
必要な場合に備えて、 Crowdstrike によって破壊された Windows システムの手動回避策を以下に示します。
- セーフモードまたはWindows回復環境で起動します
C:\Windows\System32\drivers\CrowdStrikeディレクトリへ移動- 一致するファイルを削除する
C-00000291*.sys - 通常通り再起動する
CrowdStrike 社は追加情報の要請にまだ応じていないが、ニスベット氏は同社の専用 Reddit ページ (激怒した顧客で溢れているスレッド) で回避策を公開した。
しかし、この回避策はすべての顧客に有効ではないとXeet氏は述べ、状況を「混乱」と表現した。同社は現在もこの問題の解決に取り組んでいる。
今朝、BBCラジオ4に出演した英国国立サイバーセキュリティセンター元CEOのキアラン・マーティン氏は、今回の障害に関する現在の説明に同意した。
「[CrowdStrike]はFalconというブランド名で一連の製品を展開しているが、多くの企業が脅威の検出などに利用するFalconセンサーのアップデートが誤って設定され、Windowsに悪影響を与えているようだ。
「企業がCrowdStrikeとWindowsの両方をOSとして使っている場合、業界で言うところの「ブルースクリーン・オブ・デス」が発生し、Windowsが動作しなくなるようです。そのため、航空会社はおそらく、スカイニュースが放送できない理由を理解できないのでしょう。また、単に時期的な理由と理由から、この問題がオーストラリアで最初に発生しているように見えるのも、このためです。」
これらの複雑なシステムは常に相互依存的に動作するため、サイバーセキュリティが機能するには、サイバーセキュリティツールがWindowsと連携できる必要があります。そのため、企業はこれらのツールを導入する際に、WindowsとWindowsの双方に多くの時間、費用、労力を費やし、互換性を確保しています。ネットワークの他の部分を不安定にしないことも重要ですが、ほとんどの場合、これはうまくいきます。しかし、稀にうまくいかないこともあります。どうやらそうではないようです。今回ほど深刻な事態になることは非常に稀です。
- CrowdStrikeのコードアップデートにより世界中のWindowsマシンが動作不能に
- Azureの障害が解決してもMicrosoft 365は「劣化」したまま
- エレクソンの英国電力に関する洞察、証明書の期限切れで打ち砕かれる
- インターネットアーカイブ、夜間のサービス停止は「環境要因」が原因と主張
マイクロソフトではなくCrowdStrike
国内メディアによる初期の報道では、IT 問題の原因が Microsoft にあると誤って伝えられたが、Microsoft 自身もその数時間前に Azure クラウド プラットフォームで障害に見舞われていた。しかし、これは世界中で IT 問題が広まっている根本的な問題とは無関係のようだ。
この特定の Azure の問題は Microsoft 365 サブスクリプション サービスに影響を及ぼしていましたが、混乱によって世界規模のシステムが停止するまでにすでに解決されていました。
マイクロソフトは本日、私たちに簡潔に返答する時間を見つけたが、ロシアに起因するデータ侵害について顧客に適切に通知しなかったという主張について、私たちの度重なる説明要請を無視し続けた。
広報担当者は、「サードパーティ製ソフトウェアプラットフォームのアップデートにより、Windowsデバイスに問題が発生していることを認識しています。近日中に解決策が見つかるものと期待しています」と述べた。
Crowdstrike は最新情報の中で、「Windows ホストの単一のコンテンツ更新で見つかった欠陥の影響を受けた顧客と積極的に協力している」と述べた。
「MacおよびLinuxホストは影響を受けません。これはセキュリティインシデントやサイバー攻撃ではありません。」
問題は既に特定され、隔離され、修正プログラムが配布されました。最新のアップデートについてはサポートポータルをご覧ください。また、今後もウェブサイトで完全かつ継続的なアップデートを提供していきます。
さらに、組織は公式チャネルを通じてCrowdStrikeの担当者と確実にコミュニケーションを取ることをお勧めします。
「当社のチームは、CrowdStrike のお客様のセキュリティと安定性を確保するために全力を尽くしています。」®
追加更新
Crowdstrike は次のように付け加えました。
- 症状には、ホストで Falcon センサーに関連するバグチェック\ブルー スクリーン エラーが発生することが含まれます。
- 影響を受けていない Windows ホストでは、問題のあるチャネル ファイルが元に戻されているため、アクションを実行する必要はありません。
- UTC 0527以降にオンラインになったWindowsホストも影響を受けません。
- Windows 7/2008 R2 を実行しているホストは影響を受けません
- この問題はMacやLinuxベースのホストには影響しません
- タイムスタンプが 0527 UTC 以降のチャネル ファイル「C-00000291*.sys」が、元に戻された (正常な) バージョンです。
- タイムスタンプが 0409 UTC のチャネル ファイル「C-00000291*.sys」が問題のあるバージョンです。
