こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
米CrowdStrike社 CEO ジョージ・カーツ氏は現地時間7月19日、同社公式ブログで、同日グローバル規模で発生した同社製品を導入しているWindows PCにブルースクリーンが発生した障害を受け「To Our Customers and Partners」と題したコメントを発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】CrowdStrikeの大規模障害について、CEOがコメントを発表しています。CrowdStrikeとWindowsの環境で発生した障害の概要と、今回のインシデントが悪用される可能性について説明します。
今回のインシデントは、CrowdStrike Falconを導入しているWindows PCにブルースクリーンが発生するというものです。原因として、Windowsホスト向けのFalconの更新に見つかった欠陥が挙げられています。対策として、CrowdStrikeから修正プログラムがリリースされています。
CrowdStrikeの大規模障害が発生した原因として、ソフトウェアのアップデートに伴う、テスト不足が挙げられます。
今回の大規模障害は、CrowdStrike Falcon Sensorのアップデート配信における重大な欠陥が原因で発生したと言われています。具体的には、チャネルファイルと呼ばれる、CrowdStrike Falcon Sensorが使用するファイルのパス情報が誤っていたため、システムが誤った場所にファイルを書き込もうとして、それがクラッシュにつながったと言われています。CrowdStrikeのアップデートに含まれていた、この誤った設定により、Windows PCが予期せぬ動作をすることで、ブルースクリーンエラーが発生しています。
この障害は全世界で発生し、影響を受けたWindows PCの数は850万台以上と推定されています。仮に、CrowdStrikeのソフトウェアをアップデートする前に、十分なテストが行われていれば、大規模障害を回避できた可能性があります。テストは、ソフトウェアを提供する側と利用する側の両方で、アップデートを適用する前に行うことが求められます。
今回のインシデントから、新たなサイバー攻撃やソーシャルエンジニアリングに悪用される可能性があります。
攻撃者は、偽のCrowdStrikeのアップデートを作成し、それをソーシャルエンジニアリングの手法を使ってユーザーに配布する可能性があります。例えば、CrowdStrikeの公式Webサイトを模倣した偽のWebサイトを作成し、そこに偽のアップデートをダウンロードできるリンクを掲載します。そして、攻撃者は、メールやSNSを通じて、ユーザーに偽のアップデートをダウンロードするように誘導するメッセージを送信します。偽のアップデートには、マルウェアが仕込まれており、ユーザーがインストールすると、システムを乗っ取られたり、個人情報が盗まれたりする可能性があります。
攻撃者は、今回の障害で発生した混乱に乗じて、新たなサイバー攻撃を仕掛けてくる可能性がありますので、CrowdStrikeをご利用中の方は十分にご注意ください。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
