無名なセキュリティー企業（CrowdStrike）の欠陥ソフトが二度目の世界混乱を引き起こす

いつもご覧いただきありがとうございます。

CrowdStrike によるWindowsブルースクリーン障害について、ニューヨークタイムズ（The New York Times）の記事を意訳しました。

Chaos and Confusion: Tech Outage Causes Disruptions Worldwide
「混乱と困惑: 世界中でテクノロジーの停止が混乱を引き起こす」

世界中でテクノロジー停止が混乱を引き起こす

航空会社、病院、そして個人のコンピュータが、サイバーセキュリティ会社CrowdStrike による欠陥のあるソフトウェア更新の影響を受けました。

金曜日にドイツ・ハンブルクの空港でチェックインを待つ旅行者。Bodo Marks/DPA、AP通信経由

航空会社はフライトを地上に着陸させました。911（日本の110番、119番）のオペレーターは緊急事態に対応できませんでした。病院では手術をキャンセルしました。小売店は一日中閉店しました。そして、これらすべての行動は一連の悪質なコンピュータコードに起因していました。

殆ど知られていないサイバーセキュリティ会社によって送信された欠陥のあるソフトウェア更新が、金曜日に世界中で混乱と中断を引き起こしました。この会社、CrowdStrikeは、テキサス州オースティンに拠点を置き、ハッカーやオンライン侵入者から保護するために多国籍企業、政府機関、その他多数の組織で使用されるソフトウェアを作成しています。

しかし、CrowdStrikeが木曜日にMicrosoft Windowsソフトウェアを使用する顧客に更新を送信すると、コンピュータがクラッシュし始めました。

ひと握りの企業に世界のITが依存している

その影響は即時で、かつ避けられないもので、グローバルな技術インフラストラクチャの脆弱性を浮き彫りにしました。世界はMicrosoftとCrowdStrikeのような一握りのサイバーセキュリティ企業に依存しているため、インターネットを介して単一の欠陥ソフトウェアがリリースされると、瞬時に数多くの企業や組織に損害を与えることができます。

「これは世界の主要なインターネットインフラストラクチャの脆弱性を非常に、非常に不快な形で示しています」と、英国国家サイバーセキュリティセンターの元最高経営責任者であり、オックスフォード大学ブラヴァトニクスクール・オブ・ガバメントの教授であるキアラン・マーティン氏は述べました。

サイバー攻撃が広範な停止の原因ではありませんでしたが、金曜日に起こった影響は、グローバルな技術システムの主要な動脈が妨げられた場合の破壊的な損害の大きさを示しました。この出来事は、CrowdStrikeのテストプロセスに関するより広範な疑問と、そのコードの欠陥が重大な中断を引き起こした場合にソフトウェア企業が直面すべき結果についての議論を引き起こしました。

一般的に技術的なエラーやサイバー攻撃によって引き起こされる停止は多いですが、金曜日に起こった停止の規模は比類のないものでした。

「これは歴史的です」と、サイバーセキュリティ会社WithSecureの最高研究責任者であるミッコ・ヒッポネン氏は言います。「このような事件はこれまでにありませんでした」

CrowdStrike CEO ジョージ・カーツ氏

CrowdStrikeの最高経営責任者（CEO）ジョージ・カーツ氏は、同社がミス（誤り）の責任を取り、ソフトウェア修正をリリースしたと述べました。彼は、技術システムが正常に戻るまでには時間がかかる可能性があると警告しました。

「お客様、旅行者、影響を受けたすべての人々に与えた影響について深くお詫び申し上げます」と、彼は金曜日にNBCの「トゥデイ」ショーのインタビューで述べました。

CrowdStrikeの最高経営責任者（CEO）ジョージ・カーツ氏のLinkedIn

Microsoftの最高経営責任者であるサティア・ナデラ氏は、CrowdStrikeを非難し、顧客が「システムをオンラインに戻す」ための支援を行っていると述べました。AppleとLinuxのマシンは、CrowdStrikeのソフトウェア更新の影響を受けませんでした。

ホワイトハウスの関係者は、政権がCrowdStrikeと「定期的に連絡を取っており」、連邦政府の運営に対する影響を評価するために機関を召集したと述べました。

CrowdStrikeについて

CrowdStrikeは、2011年にジョージ・カーツ氏らによって設立され、最も難しいセキュリティ問題を解決できる企業としての評判を築いてきました。同社は、2014年のソニーピクチャーズのハッキングや、ヒラリー・クリントンのメールを暴露した2016年の民主党全国委員会のハッキングを調査するために選ばれました。

ジョージ・カーツ氏、CrowdStrikeの共同創業者兼最高経営責任者（CEO）。デビッド・ポール・モリス/ブルームバーグ

しかし、CrowdStrikeの製品に起因する問題は以前にも表面化しています。今年4月、同社はLinuxシステムを実行している顧客にソフトウェア更新をプッシュし、コンピュータをクラッシュさせました。これはニューヨーク・タイムズが入手した内部報告書によると、金曜日の停止とは関係のないバグで、CrowdStrikeはこの問題を解決するのに約5日かかり、同社は今後のテストプロセスの改善を約束しました。

木曜日に技術的な問題が始まったのは、MicrosoftがクラウドサービスシステムであるAzureでの停止に対処していた時でした。これにより、いくつかの航空会社が影響を受けました。

その後、CrowdStrikeはFalcon Sensorというソフトウェアの更新を送信しました。このソフトウェアは、コンピュータに侵入やハッキングの兆候をスキャンします。計画通りに進めば、CrowdStrikeのソフトウェアは小さな改善を受け、顧客はほとんど気づかないはずでした。

しかし、CrowdStrikeの欠陥のある更新がMicrosoft Windowsを実行しているコンピュータに到達すると、これらのマシンはシャットダウンし、無限に再起動を繰り返しました。世界中の労働者は、コンピュータの「青い死の画面」に直面しました。専門家によれば、CrowdStrikeの不十分なテストが問題の原因である可能性が高いとのことです。

コンピュータが何度も再起動を繰り返す「ドゥームループ」として知られる現象が発生すると、CrowdStrikeは問題を修正する手立てがほとんどありませんでした。影響を受けた企業の技術スタッフは、各マシンを回って欠陥のあるコードを取り除くか、CrowdStrikeからの解決策を待つかの選択に直面しました。

問題は瞬時に拡大しました。オーストラリアのシドニー空港では旅行者が遅延やキャンセルに直面し、香港、インド、ドバイ、ベルリン、アムステルダムでも同様の状況が発生しました。米国では少なくとも5つの航空会社（アレジアント航空、アメリカン航空、デルタ航空、スピリット航空、ユナイテッド航空）が一時的にすべての便を地上に停めました。

航空会社の欠航が世界各地(タイムゾーンを越えて)どのように波及したか

航空便のキャンセルが世界中波及した割合を示すグラフ

医療システムは麻痺し、病院は非緊急手術をキャンセルせざるを得なくなりました。米国では、911のラインが複数の州でダウンしましたが、多くの問題は金曜日の後半に解決されました。英国の国家医療サービス（NHS）も問題を報告しました。

「私たちは大災害を抱えていることを知っていました」と、プロビデンスヘルスの最高情報責任者B.J.ムーア氏は述べました。同社は7つの州に52の病院を持ち、15,000のサーバーがダウンし、150,000台のコンピュータのうち40,000台が影響を受けたと彼は言い「サイバー攻撃よりもタチが悪かった」と付け加えました。

ユナイテッド・パーセル・サービス（UPS）とフェデックスは影響を受けたと述べました。米国最大の銀行の一つであるTDバンクの顧客は、オンラインアカウントにアクセスする際に問題を報告しました。いくつかの州や市の裁判所システムも停止のために一日中閉鎖されました。

CrowdStrikeでは、エンジニアは混乱の雰囲気の中で、ダメージを抑えるために奮闘しました。

幹部は従業員に対して、誤りの原因について推測しないように促し、影響を受けたコンピュータの修正に集中するよう指示しました。クラウドに接続されていないコンピュータには、CrowdStrikeによって導入されたエラーの物理的修正が必要で、数週間かかる可能性があると彼らは述べました。

数時間以内に、CrowdStrikeは無限に再起動するコンピュータを停止させるソフトウェアパッチを送信しました。

独立したサイバーセキュリティ研究者兼コンサルタントのルカシュ・オレイニク氏は、この停止を解決するには時間がかかると述べました。一部の組織に推奨される解決策は、各コンピュータを手動でセーフモードに再起動し、特定のファイルを削除してからコンピュータを再起動することです。

それは比較的簡単なプロセスですが、スケールで実行するのは簡単ではないかもしれないと専門家は言います。組織化され、スタッフが充実した情報技術チームを持つ人々は、問題をより迅速に解決できる可能性があります。

Appleが顧客に送るiPhoneソフトウェア更新とは異なり、この事件はバックグラウンドで動作する情報技術システムを浮き彫りにしました。CrowdStrikeの問題は、更新されたソフトウェアが重要なサイバーセキュリティタスクを実行し、コンピュータをスキャンしてウイルスやその他の悪意のある攻撃を検出するためにアクセスを持っていたため、さらに複雑になりました。

サイバーセキュリティツールは、攻撃からコンピュータを守るために静かにバックグラウンドで動作します。ハッカーが新しい攻撃手法を開発するにつれて、ソフトウェアは頻繁に新しい防御で更新されますが、常に更新が行われるため、ミスが発生する機会も多くなります。

「セキュリティソフトウェアの難しい部分の一つは、仕事をするためにコンピュータ全体に絶対的な権限を持つ必要があることです」と、サイバーセキュリティコンサルタントであり、元米国国家安全保障局アナリストのトーマス・パレンティ氏は言います。「したがって、何かが間違っている場合、その結果はスプレッドシートが動作しない場合よりもはるかに大きなものになります」

金曜日に、昨年の年間収益が30億ドルだったCrowdStrikeの株価は11％下落して終了しました。

CrowdStrikeの今年の株価　出典:LSEG Data & Analytics

企業は、重大な中断やサイバーセキュリティ事件に対してどのような責任を負うべきかという疑問に直面しています。重大な停止に対する結果が非常に軽微な場合、企業は根本的な変更を行う動機を持ちません。専門家は、自動車メーカーが欠陥のあるブレーキに対して厳しい罰則を受ける一方で、ソフトウェアプロバイダーはしばしば別の更新を発行して次に進むことができると述べました。

「ソフトウェア企業が欠陥製品に対して代償を払わなければならないようになるまでは、明日私たちが今日よりも安全になることはありません」とパレンティ氏は言います。

以上が、ニューヨークタイムズの記事の意訳になります。

この記事に関する考察

"by a little-known cybersecurity company"
（殆ど知られていないサイバーセキュリティ会社によって）

CrowdStrike は、アメリカ国内でも殆ど無名のようです。
ITで有名企業といえば、Microsoft、Apple、Google、Facebook、Amazonくらいになるのでしょうか？

CrowdStrike レベルでも、所詮、IT業界内だけでしか名前が知られていないということになります。
特に、サイバーセキュリティ企業は、一般コンシューマには認知度が殆どないのは致し方ないのかも知れません。

今回、この記事を意訳したのは、CrowdStrike が、今年の4月にも Linuxで同様の不具合を発生させていたことをあったからです。

今年4月、同社はLinuxシステムを実行している顧客にソフトウェア更新をプッシュし、コンピュータをクラッシュさせました。これはニューヨーク・タイムズが入手した内部報告書によると、金曜日の停止とは関係のないバグで、CrowdStrikeはこの問題を解決するのに約5日かかり、同社は今後のテストプロセスの改善を約束しました

前回は、今回のWindowsとは異なり、Linuxであったこともあってか、日本国内では殆ど話題にならなったですが、Linuxがクラッシュし、問題解決までなんと5日間も掛かったとのことが非常に驚きです。

この不具合で、今後のテストプロセスの改善を約束したのに関わらず、たった数か月後に同様の、さらに大きな不具合を発生させたことが問題だと思っています。

今回のWindowsのブルースクリーンは、今年二度目ということになり、テストプロセスを含め、根本的な対策が全く行われていなかったことになります。

"二度あることは三度ある"と言いますが、これは三度目がある可能性が高いと思います。

イーロンマスクは、今回が二度目の被害だったのか、すでにCrowdStrikeを社内からすべて排除したようですが、日本国内では、そのような即断をする企業は存在しないと思います。