【国際】CrowdStrikeシステム障害、世界規模の影響。被害に対する損害保険が焦点に

　サイバーセキュリティ世界大手米CrowdStrikeは7月20日、7月19日に発生したグローバル規模のシステム障害に関し、声明を発表。同社が引き起こした原因の内容と対策内容について説明した。

　7月19日のシステム障害では、航空会社の運航システムも停止させ、世界で4,600便以上が欠航し、約41,000便に遅れが出た模様。日本でもマクドナルドやユニバーサル・スタジオ・ジャパン（USJ）のレジシステムで障害が発生し、一時的な営業休止も引き起こした。テスラでは工場の生産ラインが一時停止。病院で手術が受けられなくなる事態にもなった。

　CrowdStrikeは、同社の「ファルコンセンサー for Windows バージョン 7.11以上」が問題の原因と特定。同社は、マイクロソフトのWindowsバージョン7.11以上で発生する可能性があると説明した。システム障害の原因では、同社の継続保守の一環で、Windowsシステム向けにセンサー設定のアップデートを7月19日の協定世界時（UTC）04:09にリリースし、同じく05:27に修復プログラムが適用されたと説明。そのため、04:09から05:27の間にアプリケーション・アップロードを実行したシステムでシステムクラッシュの可能性があるという。一方、サイバー攻撃に関しては否定した。

　マイクロソフトも7月20日に声明を発表し、原因が同社側ではなく、CrowdStrikeにあると説明。CrowdStrikeのアップデートが影響を与えたWindowsデバイスは世界850万台で、Windows搭載機器全体の1%未満と推定した。

　事後対策では、CrowdStrikeは、今回のシステム障害の原因が、同社が1日に数回実施しているファイル・アップデートによるものであり、同ファイルの格納ディレクトリと、問題を引き起こしたチャネルファイルの名称が「C-00000291-」で始まる.sysファイルと言及。LinuxやmacOSで実行しているシステムでは、当該チャネルファイルを使用しておらず、影響がなかったという。

　マイクロソフトの発表によると、Google Cloud Platform（GCP）やAmazon Web Services（AWS）のシステムにも影響を与えていた。これにより、幅広い業務アプリケーションをシステム障害に追い込んだとみられる。マイクロソフトは、CrowdStrikeと連携し、ソリューションの開発作業を自動化。数百人の同社エンジニアと専門家を配備し、サービスの復旧のために顧客と直接作業を実施したという。 手動による修復のドキュメントとスクリプトもホームページ上に掲載した。

　CrowdStrikeは、今回の問題を引き起こした根本原因については、今後徹底的に分析すると表明。調査の進展に伴い、調査結果を伝えていくとした。

　今回の事象に伴うシステム障害は、概ね復旧している模様だが、今後の焦点は、システム障害により損害を受けた企業の損害保険金の支払いに移る。事業影響が膨大に出ており、サイバー保険金支払いの対象になるかどうかについて、損害保険会社との協議が始まっていく。今回の損害は、数百億米ドルに上るとの見方もある。一方で、全てのサイバー保険が、システム障害による事業中断をカバーしているわけでもないという。

【参照ページ】Technical Details: Falcon Content Update for Windows Hosts
【参照ページ】Helping our customers through the CrowdStrike outage

株式会社ニューラル サステナビリティ研究所