CrowdStrike Falconの最新アップデートに含まれる欠陥コンポーネントがWindowsシステムをクラッシュさせ、空港、テレビ局、病院を含む世界中の様々な組織やサービスに影響を与えている。
この不具合はWindowsのワークステーションやサーバーに影響を及ぼしており、企業全体や何十万台ものコンピューターがオフラインになるほどの大規模な停止が報告されている。
一部の報道によると、米国とカナダの緊急サービスにも影響が及んでいるという。
CrowdStrikeの不具合アップデートに対する回避策
ここ数時間、CrowdStrike Falcon Sensorの最新アップデートをインストールした後、Windowsホストがブートループにはまり込んだり、ブルースクリーン・オブ・デス(BSOD)が表示されたりするとの苦情が寄せられている。
セキュリティベンダーはこの問題を認め、同社のエンジニアが「この問題に関連するコンテンツの配置を特定し、それらの変更を元に戻した」と説明するテクニカルアラートを発表した。
CrowdStrikeはテクニカルアラートの中で、「症状には、Falcon Sensorに関連したバグチェック画面エラーが発生するホストが含まれる」と述べている。
同社は、センサー用のデータ(指示など)を含むチャネルファイルが原因であることを明らかにした。このファイルはセンサーのアップデートの構成要素であるため、ファルコンセンサーのアップデートを削除することなく、個別に対処することができます。
CrowdStrikeでは、すでに影響を受けているお客様に対して、以下の回避策を提供しています:
- WindowsをセーフモードまたはWindows回復環境で起動します。
- C:∕WindowsSystem32∕drivers∕CrowdStrike∕ディレクトリに移動します。
- C-00000291*.sys」に一致するファイルを探し、削除します。
- ホストを通常通りブートする。
CrowdStrikeの社長兼CEOであるGeorge Kurtzは、数分前に、同社が “顧客と積極的に取り組んでいる “と発表し、この問題が “Windowsホスト用の単一のコンテンツ更新で見つかった欠陥によるもの “であることを確認した。
“我々はさらに、組織が公式チャネルを通じてCrowdStrikeの担当者と確実に連絡を取っていることを推奨する。我々のチームは、CrowdStrikeの顧客のセキュリティと安定性を確保するためにフル動員されている」 –George Kurtz氏
CrowdStrikeの最高経営責任者(CEO)は、修正プログラムが利用可能であるとし、最新のアップデートについてはサポートポータルにアクセスするよう顧客に勧めている。
CrowdStrikeは更新された声明の中で、「問題のあるチャネルファイル[C-00000291*.sys(タイムスタンプ0409 UTC)]は元に戻された」とし、その良いバージョンはC-00000291*.sys(タイムスタンプ0527 UTC以降)であると述べている。
同社はまた、クラウドおよび仮想環境でこの問題に対処するための2つのオプションを提供しており、1つは04:09 UTC以前のスナップショットにロールバックする方法である。2つ目のオプションは、以下の7ステップの手順である:
- 影響を受けた仮想サーバーからオペレーティングシステムのディスクボリュームを切り離す。
- ディスクボリュームのスナップショットまたはバックアップを作成します。
- 新しい仮想サーバにボリュームをアタッチ/マウントします。
- WINDIR%System32のCrowdStrikeディレクトリに移動します。
- C-00000291*.sys “に一致するファイルを探し、削除します。
- 新しい仮想サーバーからボリュームをデタッチします。
- 影響を受けた仮想サーバーに固定ボリュームを再接続する
世界中の航空会社や病院で障害が発生
しかし、修正が行われるまでに、複数の業種にわたる多くの大企業がすでに影響を受けていた。
いくつかの報告によると、CrowdStrikeのアップデートは、ニューヨーク州(救急、警察、消防署)、アラスカ州、アリゾナ州の一部の911救急サービス機関、およびカナダの一部の911サービスに影響を与えたという。
イリノイ州の911テレコミュニケーターは、”復旧するまで紙を使わずに作業している “と語った。
また、スペインのカタルーニャ地方の健康ホットラインが影響を受けており、当局は緊急時以外は061に電話しないよう市民に呼びかけているとの報告もある。
オランダの放送局NOSは、この不具合でスキポール空港に混乱が生じ、「数便が欠航を余儀なくされた」(KLMオランダ航空とトランサヴィア航空)と伝えた。
メルボルン空港は、「世界的な技術的問題により、一部の航空会社のチェックイン手続きに影響が出ている」と述べた。最も影響を受けているのは、ジェットスター航空とスクート航空で国際線に出発する乗客である。
数時間前の最新情報では、チューリッヒ空港は、「すでに飛行中のチューリッヒを目的地とするフライトは着陸を許可されている」、「現在チューリッヒ空港に向けて離陸している航空機はない」、「アメリカへの出発便はない」としている。
さらに、遅延やキャンセルが発生しており、各航空会社の乗客は手動でチェックインしなければならない。
影響を受けている他の空港は、ベルリン、バルセロナ、ブリスベン、エディンバラ、アムステルダム、ロンドンである。
米国では、連邦航空局が複数の航空会社(アメリカン航空、ユナイテッド航空、デルタ航空)に対し、「ITシステムに影響を与える技術的問題」が解決するまで地上待機を支援するよう要請を受けた。
米国のJFK空港とラガーディア空港では、クラウドストライクのアップデートによる障害でフライトが停止し、乗客が立ち往生している。
オランダのいくつかの病院(エメンのシェパー、アハテルフックのスリンゲランド病院、ホーゲフェーンとスタッズカナールの救急ポスト)も影響を受けた。
バルセロナでは、テラサ大学病院とカタルーニャ腫瘍学研究所が、クラウドストライクの問題により本日未明に問題を起こしたが、通常の活動に戻り始めている。
米国では、ニューヨークのベルビュー病院とニューヨーク大学ランゴン病院も影響を受けている。
金曜の朝には、スカイニュースや ABCなど複数のテレビ局や報道機関が、コンピューターがクラッシュし、混乱に見舞われた。
CrowdStrikeのアップデートの後、数万台、数十万台のコンピューターがクラッシュし、自社に影響が出たことについて、多くのユーザーがRedditのコメントで不満をぶちまけ始めた:
マレーシアでは、70%のラップトップがダウンし、起動不能に陥っている。
210K BSODs all at 10:57 PST……and it continues up… this is bad….
オーストラリアではワークステーションとサーバーが5万台以上ある。
ここオーストラリアでも失敗している。会社全体がオフラインだ
ここオーストラリアでも同じだ。会社全体がダウンしている。
会社の半分がダウンしている。どういうわけかAWSのサーバーにも影響が出ている。顧客に大きなサービスダウンタイム
組織全体がダウン。IT部門の半分がロックアウトされている。
現在、NZで大きな問題が発生しており、全社的な障害がサーバーやワークステーションに影響を及ぼしている。
フィリピンと中国の拠点もサポートしています。フィリピンと中国をサポート。
修正プログラムが配布され、CrowdStrikeはすでにクラッシュしているWindowsホストに対する回避策を提供しているが、企業はしばらくの間、この問題の影響を感じるだろう。
特に、数万台から数十万台のコンピュータ群、リモートで働く従業員、オフプレミスのデータセンター、セーフモードで起動することができないクラウド環境では、管理者は長い週末を過ごすことになるだろう。
更新[7月19日09時59分(米国東部時間)]:クラウドおよび仮想環境に対する緩和策の詳細を含めるために記事を編集しました。
Comments