元 Microsoft ソフトウェア エンジニアが、850 万台以上の Windows ユーザーを失わせた CrowdStrike のデジタル パンデミックについて説明します。

知っておくべきこと

• 先週、世界は、Microsoft サービスに悪影響を及ぼした欠陥のある CrowdStrike ドライバーによって引き起こされた世界的なデジタル パンデミックに目覚めました。
• 元マイクロソフト Windows 開発者の Dave Plummer 氏は、世界的な IT 障害に関する複雑な詳細を分析した YouTube ビデオを共有しました。
• プラマー氏は、この障害はドライバーの動的データ ファイル内のヌル バイトによって発生したと考えています。

先週金曜日、世界は専門家が「世界史上最大のIT障害」と呼ぶ事態に目覚めました。CrowdStrikeカーネルドライバーの欠陥によって引き起こされたこの大規模な障害は、約850万台のWindowsデバイスに影響を与えました。

デジタルパンデミックは、ネットワークやクラウドコンピューティングを含むMicrosoftのサービスに影響を及ぼしました。この問題は、恐ろしいブルースクリーン（BSoD）エラーによって特徴づけられました。MicrosoftとCrowdStrikeは、問題は解決したと発表しましたが、サービスの完全な復旧には時間がかかるとしています。

マイクロソフトは、サービスの復旧を早めるため、デバイスの再起動を最大15回行うことを推奨しました。マイクロソフトとCrowdStrikeの担当者から、世界規模のIT障害の根本原因について、それぞれ異なる説明を受けています。

Dave Plummer（別名Dave's Garage）は、元Microsoftソフトウェアエンジニアで、ZIPファイルサポートの追加など、Windowsエコシステム全体への貢献で知られています。彼は最近、CrowdStrikeによって引き起こされたデジタルパンデミックについて説明するYouTube動画を公開しました。

ちなみに、プラマー氏はマイクロソフトでWindows開発者としてBSODエラーのデバッグを担当していたが、CrowdStrikeの障害はそれとは異なると認めている。興味深いことに、プラマー氏は混乱の中ニューヨークを旅行中で、空港に取り残されたと付け加えている。

プラマー氏は、BSoDエラーのデバッグプロセスは簡単だったと述べているものの、カーネルドライバに影響を与える問題を「最も解決が難しい」と指摘しています。さらに、カーネルオペレーティングシステムはリングシステムを使用してコードを2つの異なるカーネルモードに分割し、オペレーティングシステム用のカーネルモードとソフトウェアアプリケーションの実行を容易にするユーザーモードに分割していると述べています。 

カーネルモードはより高い権限を持ち、システムメモリマップ全体と、メモリ内の任意の物理ページにアクセスできます。一方、ユーザーモードは、カーネルがユーザーに表示させたいメモリマップページにのみアクセスできます。また、アプリケーションコードがクラッシュすると、アプリケーションもクラッシュする点にも留意してください。一方、カーネルモードがクラッシュすると、システム全体がクラッシュします。これが、ユーザーが恐ろしいBSODエラーに遭遇する理由です。

プラマー氏は、これはWindowsオペレーティングシステムに特有のものではなく、LinuxやAppleのmacOSを含むすべての最新システムに共通する一般的な保護対策だと指摘しています。ここでCrowdSrikeのFalconセキュリティサービスが役立ちます。このサービスはマルウェアを寄せ付けず、サーバーに強力な保護を提供します。注目すべきは、このサービスがカーネルモードで動作することです。システムのデータ構造とサービスにアクセスできるため、攻撃を受けた際にアプリケーションがどのように動作するかを監視・分析します。

なぜ Windows が混乱に陥ったのでしょうか?

カーネルモードでコードを実行するのは容易ではありません。ちなみに、Microsoftはこうしたケースにおいて、ドライバーがテストを受け、Windowsで動作することが認定されていることを示す証としてWHQL（Windows Hardware Quality Labs）認証を提供しています。このテクノロジー界の巨人は、テストを実施した上でのみデジタル証明書を発行します。ただし、その証明書は、テスト後にドライバーに変更が加えられない限り有効です。

CrowdStrikeは、高度な攻撃に対応するため、Falconを最新のセキュリティ機能で常に更新することを目指しています。実質的には、アップデートごとに新しいドライバを作成し、そのドライバのWHQL認証も新たに取得する必要があります。しかし、急速な変化と攻撃の迅速な展開を考えると、対応に数週間かかる可能性があり、これは現実的ではありません。

この問題を回避するため、CrowdStrikeは、必ずしも初期ドライバーパッケージの一部である必要はなく、ドライバーが処理できる動的定義ファイルを提供しています。これにより、CrowdStrikeは長い認証およびテストプロセスを回避しながら、システムへの潜在的な脅威に対抗するための新しいアップデートをリリースすることができます。

しかし、このアプローチは必ずしもスムーズではありません。動的ファイルは、ドライバーが実行可能なコードで記述された完全なプログラムであり、カーネルモードで署名されていないコードを実行できます。ドライバー自体は同じままであり、新たな認証は保証されません。また、新しいアップデートによって動作が変更され、セキュリティ上の脅威が生じる可能性があります。

報道によると、サービスがクラッシュしたのは無効なメモリ参照が原因とされていますが、プラマー氏は動的データファイル内のヌルバイトが原因だった可能性を示唆しています。大規模な世界的IT障害が発生した際、懸念を抱いたユーザーはマイクロソフトを非難しました（ただし、その後の報道で、同社がこのデジタルパンデミックの背後にいたわけではないことが確認されました）。

Windowsオペレーティングシステムには、前回正常起​​動時の構成での起動など、このような問題に対処するための多くの機能が搭載されています。しかし、CrowdStrikeのドライバはブートドライバとして指定されています。ちなみに、ブートドライバはオペレーティングシステムの再起動に不可欠です。そのため、CrowdStrikeのドライバはWindowsデバイスを保護するためのブートドライバとして指定されている可能性があり、これがBSODエラーレポートの永続的な発生につながっていると考えられます。

ケビン・オケムワは、ケニアのナイロビを拠点とするベテランのテクノロジージャーナリストです。Windows Centralで業界の最新トレンドや動向を幅広く取材し、豊富な経験を有しています。イノベーションへの情熱と細部への鋭い洞察力を持つ彼は、OnMSFT、MakeUseOf、Windows Reportといった主要メディアに寄稿し、Microsoftエコシステムを取り巻くあらゆるトピックについて、洞察力に富んだ分析と最新ニュースを提供しています。常に変化するテクノロジーのトレンドを追っている暇な時は、世界を旅したり、音楽を聴いたりしています。