Howdy! How can we help you?
(conversation.com)CrowdStrike Falconとは?何をするものなのか?私のコンピューターは安全なのか?
CrowdStrike Falconとは?何をするものなのか?私のコンピューターは安全なのか?
公開日: 2024年7月19日 11:20 BST
著者
トビー・マレーメルボルン大学情報システム学部サイバーセキュリティ学科准教授
開示事項
トビー・マレーは、この記事から利益を得る企業または組織のために働いておらず、コンサルティングも行っていない。また、株式を所有しておらず、資金提供も受けていない。また、学術上の役職以外に、関連する所属先を一切開示していない。
パートナー
メルボルン大学は、The Conversation AUの創設パートナーとして資金を提供している。
すべてのパートナーを表示
私たちは情報の自由な流れを信じている
当社の記事を、クリエイティブ・コモンズ・ライセンスの下で、オンラインまたは印刷物として無料で再出版することができる。
現在、大規模なIT障害が世界中のコンピューターシステムに影響を及ぼしている。オーストラリアとニュージーランドでは、銀行、メディア、病院、交通機関、店舗のレジ、空港などのコンピューターがすべて影響を受けていることが報じられている。
今日の機能停止は、その規模と深刻さにおいて前例のないものである。影響を受けたコンピューターに起こったことを専門用語で表現すると、「bricked(レンガ化)」となる。この言葉は、今回の機能停止によってコンピューターがまったく使えなくなり、少なくとも今はレンガと同じ状態であることを意味する。
広範囲にわたる機能停止は、CrowdStrike Falconと呼ばれるソフトウェアに関連している。それは何なのか、そしてなぜこれほど広範囲にわたる混乱を引き起こしたのか?
CrowdStrike Falconとは何なのか?
CrowdStrikeは、テクノロジー市場で世界的に大きなシェアを持つ米国のサイバーセキュリティ企業だ。Falconは、サイバー攻撃やマルウェアからコンピューターを守るために組織がコンピューターにインストールする同社のソフトウェア製品の一つである。
Falconは「EDR(Endpoint Detection and Response:エンドポイント検出と対応)」ソフトウェアとして知られている。その役割は、インストールされたコンピュータ上で何が起こっているかを監視し、悪意のある活動(マルウェアなど)の兆候を探すことである。怪しいものを検出すると、脅威を封じ込めるのに役立つ。
つまり、Falcon は特権ソフトウェアprivileged softwareと呼ばれるものである。攻撃の兆候を検出するには、Falcon がコンピュータを詳細に監視する必要があるため、多くの内部システムにアクセスできる。これには、コンピュータがインターネット上で送信している通信内容や、実行中のプログラム、開かれているファイルなど、多くの情報が含まれる。
この点において、Falcon は従来のアンチウイルスソフトウェアに似ているが、より強力である。
しかしそれ以上に、脅威を封じ込める機能も必要となる。例えば、監視対象のコンピュータがハッカーと通信していることを検知した場合、Falconはその通信を遮断する必要がある。つまり、Falconは、そのコンピュータのコアソフトウェアであるMicrosoft Windowsと密接に統合されているのだ。
なぜ Falcon がこのような問題を引き起こしたのか?
この特権と緊密な統合により、Falconは強力なツールとなっている。しかし、Falconが誤作動を起こした場合、深刻な問題を引き起こす可能性があるということでもある。今日の機能停止は最悪のシナリオだ
現在分かっているのは、Falconのアップデートにより、Windows 10搭載のコンピューターがクラッシュし、再起動に失敗して、恐ろしい「Blue Screen of Death」(BSOD)が表示されるという不具合が発生したことだ。
これは、Windows コンピュータがクラッシュし、再起動が必要な場合に表示される画面を指す愛称である。ただし、今回の場合は、Falconの問題により、再度ブルースクリーンエラーが発生することなくコンピュータを再起動できないことを意味する。
なぜ Falcon はこれほど広く使用されているのだろうか?
CrowdStrikeはEDRソリューションのマーケットリーダーである。つまり、同社の製品(Falconなど)は広く普及しており、サイバーセキュリティに敏感な組織にとって最も有力な選択肢となっている可能性が高い。
今日の機能停止が示すように、これには病院、メディア企業、大学、大手スーパーマーケットなどが含まれる。影響の全容はまだ明らかになっていないが、間違いなく世界的な規模である。
なぜ自宅のパソコンには影響がないのか?
CrowdStrikeの製品は、サイバー攻撃から身を守る必要がある大手企業で広く導入されているが、家庭用のパソコンではあまり使用されていない。
これは、CrowdStrikeの製品が、攻撃の兆候をネットワーク上で監視し、侵入に迅速に対応するために必要な情報を提供する、大規模な組織向けにカスタマイズされているためだ。
家庭ユーザーの場合は、Norton や McAfee などの企業が提供する組み込みのアンチウイルスソフトウェアやセキュリティ製品の方がはるかに人気が高い。
修復にはどのくらい時間がかかるのか?
現段階では、CrowdStrikeは、影響を受けた個々のコンピュータの問題を人々が修正する方法について、手動による指示を提供している。
しかし、この記事を執筆している時点では、この問題に対する自動修正はまだ提供されていないようだ。一部の企業のITチームは、影響を受けたコンピュータを初期化し、バックアップなどから復元することで、この問題を迅速に解決できる可能性がある。
また、一部の IT チームでは、組織内のコンピュータ上の影響を受けた Falcon バージョンを「ロールバック」(以前のバージョンに戻す)できる可能性も考えられる。さらに、一部の IT チームでは、組織内のコンピュータの問題を 1 台ずつ手動で修正しなければならなくなる可能性もある。
多くの組織では、問題が完全に解決されるまでにしばらく時間がかかることが予想される。
この事件で皮肉なことは、セキュリティ専門家が長年、EDRなどの高度なセキュリティテクノロジーの導入を企業に推奨してきたことだ。しかし、その同じテクノロジーが今、ここ数年で見たことのないような大規模な機能停止を引き起こしている。
高度なセキュリティソフトウェアを販売するCrowdStrikeのような企業にとって、自社製品の自動アップデートを導入する際には細心の注意を払う必要があることを、今回の事件は改めて思い知らせるものとなった。
