クラウドストライク? EDR? 市民に発砲する保安官? 副反応が痛すぎるワクチン?
長く働いたIT業界から足を洗い、無職となった今でも、ITに起因するトラブルのニュースは気になる。7月19日に世界各地で起きたこのトラブルは、その影響範囲と規模が過去最大級だったと言われている。
世界各地で、日本時間の19日、コンピューターのシステム障害とみられる影響が広がっています。
空港でチケットが発券できなくなるなどして飛行機の運航に支障が出ているほか、イギリスでテレビ局の放送が一時止まるなどさまざまな分野で影響が広がっています。
日本国内でも、航空会社やテーマパーク、コンビニなどのシステムでトラブルが発生するなど影響が出ています。
アメリカのセキュリティー会社「クラウドストライク」のソフトを導入しているウィンドウズのパソコンで、勝手に再起動するなどのトラブルが相次いで発生しています。
クラウドストライクの日本法人によりますと、19日午後、マイクロソフトのウィンドウズのパソコンが、勝手に再起動し、不具合が起きた時などに現れる「ブルースクリーン」が突然、表示されるトラブルが相次いで発生していることを確認したと言うことです。
私が時々利用したことがある、成田空港のLCCも運休していた。
「クラウドストライク」はEDRのソフトだという。どちらもなじみのない名称だ。
EDRはEndpoint Detection and Responseの頭文字を取った、エンドポイントセキュリティを担う仕組みの1つです。エンドポイントとはPCやスマートフォン、サーバーなどのデバイスを指します。これらのデバイスの状況を監視し、不審な振る舞いの検知や対処をするためのソリューションです。
IT業界は、直輸入された英語の略語で新技術を表現することが多い。EDRという言葉の前には、EPPという単語を聞いた。世間では、「ウィルス対策ソフト」あるいはもっと縮めて「ウィルスソフト」というように言われた。
EPPはEndpoint Protection Platformの略で、一般的にはアンチウイルス(AV)ソフトやウイルス対策ソフトと呼ばれます。これらの製品はパターンマッチングなどによって、マルウェアがデバイスに侵入することを防ぎます。
2000年代初頭、Nimda(ニムダ)やCode Redと呼ばれるコンピュータウィルスが猛威を振るった。トレンドマイクロやシマンテックなどといったウィルス対策ソフトメーカーは、次から次へと登場する新種のウィルス対策に追われた(最近でもEMOTETと呼ばれるマルウェアが大きな被害を出した)。
東京ビッグサイトや幕張メッセで開かれた、IT関係の展示会に行くと、看護師の衣装を着た女性たちが、ウィルス対策ソフトの宣伝をしていたものだ。
タイトル写真は、「看護婦姿の美少女4人“ウイルスバスターナース”秋葉原に登場!」より引用。
最近は、不特定多数の人を困らせるというより、金を盗める相手を狙う攻撃が増えている。
メール経由の大規模な感染拡大により、一時は「最恐ウイルス」とも呼ばれたEMOTETですが、2022年7月以来、その活動は不活発なままとなっています。2023年に入り、3月7日から攻撃メール送信を再開し注目されたものの、2週間余りが経過した3月24日を最後に攻撃メール送信は、現在に至るまで見られていません。
このような「不活発」の理由として、EMOTETのメール攻撃が、サイバー犯罪者にとっては、以前のような成果が得られていないことが推測されます。サイバー犯罪者は金銭が目的であるため、成果の上がらない攻撃を大規模に継続することはありません。
サイバー攻撃者による攻撃が高度化するのに対応して、コンピュータシステム側の対策として生まれたのがEDRだった。
ではなぜ、システムを守るべきクラウドストライクが、システムを攻撃(ストライク)したのか?
クラウドストライクは24日、同社のソフトが原因で発生した世界的なIT(情報技術)障害を巡り、原因に関する暫定的な検証結果を公表した。品質を検査するソフトにバグ(不具合)があり、問題のあるデータを含む更新ファイルを検知できずに配信したと説明した。
クラウドストライクは様々な手法のサイバー攻撃に素早く対処するため、更新ファイルを配信してセキュリティーソフトを最新のものにアップデートしている。更新ファイルが問題を起こさないよう配信前に品質を検査する仕組みがあるが、不具合で十分に機能しなかったという。
今回のクラウドストライクのトラブルはWindows PCで起きたが、下の記事によると、過去にLinuxでもクラウドストライクのトラブルは起きていたという。
このようなバグによるトラブルは、他社で過去にも実例がある。ウィルス対策ソフトメーカーの大手トレンドマイクロは、2005年にウィルスソフトを識別するパターンファイルの作成を誤り、PCを無限ループさせた。
私の当時の勤務先も大いに被害を被った。
通常は同社のフィリピン・ラボでパターン・ファイルを作成すると、新たに加わったパターン単体のテストや、パターン・ファイル全体のテストを、複数のOS上で繰り返し、安全であることを確認した上で、ユーザーに配布する。ところが、23日午前に配信したパターン・ファイル「2.594.00」は、なぜかテストの一部が省略されてしまった。
昔も今も、こういうことは起きるのだ。
CrowdStrike? EDR? A sheriff shooting civilians? A vaccine with painful side effects?
Even now that I'm unemployed and no longer working in the IT industry after having worked there for many years, I'm still interested in news about IT-related troubles. The trouble that occurred around the world on July 19th is said to be the largest in history in terms of scope and scale.
On the 19th, Japan time, the effects of what appears to be a computer system failure are spreading around the world. Airplane operations are being disrupted as tickets cannot be issued at airports, and TV broadcasts in the UK were temporarily halted, with the effects spreading to various fields. Even within Japan, problems have been reported with systems at airlines, theme parks, convenience stores, and more. Problems such as automatic reboots have been occurring one after another on Windows computers that have installed software from the American security company CrowdStrike. According to CrowdStrike Japan, on the afternoon of the 19th, they have confirmed a series of problems in which Microsoft Windows computers are rebooting on their own and suddenly displaying a "blue screen" that appears when a malfunction occurs.
The low-cost carrier at Narita Airport that I occasionally use was also suspended.
"CrowdStrike" is apparently an EDR software. Both names are unfamiliar to me.
EDR is an acronym for Endpoint Detection and Response, and is one of the mechanisms responsible for endpoint security. Endpoints refer to devices such as PCs, smartphones, and servers. It is a solution that monitors the status of these devices and detects and responds to suspicious behavior.
The IT industry often uses imported English abbreviations to express new technologies. Before the term EDR, I heard the word EPP. In the world, it was said to be "antivirus software" or even shorter, "virus software."
EPP stands for Endpoint Protection Platform, commonly known as antivirus (AV) software. These products use pattern matching to prevent malware from invading devices.
In the early 2000s, computer viruses such as Nimda and Code Red wreaked havoc. Antivirus software manufacturers such as Trend Micro and Symantec were busy dealing with new types of viruses that appeared one after another (most recently, a malware called EMOTET caused great damage).
When I went to IT exhibitions held at Tokyo Big Sight or Makuhari Messe, women dressed as nurses were advertising antivirus software.
The title photo is taken from "4 beautiful girls dressed as nurses, "Virus Buster Nurses", appear in Akihabara!"
Recently, rather than causing trouble to an unspecified number of people, attacks targeting people from whom money can be stolen are on the rise.
EMOTET was once called the "most frightening virus" due to its large-scale spread via email, but its activity has remained inactive since July 2022. In 2023, it resumed sending attack emails on March 7, attracting attention, but no attack emails have been seen since March 24, more than two weeks later. The reason for this "inactivity" is thought to be that EMOTET email attacks are not producing the same results for cybercriminals as they did before. Since cybercriminals are motivated by money, they will not continue large-scale attacks that are not producing results.
In response to the increasing sophistication of attacks by cyber attackers, EDR was developed as a countermeasure for computer systems.
So why did CrowdStrike, which is supposed to protect the system, attack (strike) the system?
On the 24th, CrowdStrike announced the provisional results of an investigation into the cause of the global IT outage caused by the company's software. The company explained that there was a bug in the software that inspects quality, which meant that the update file containing the problematic data was not detected and distributed. CrowdStrike distributes update files to update security software to the latest versions in order to quickly respond to various types of cyber attacks. The company has a system in place to inspect the quality of update files before distribution to ensure they do not cause problems, but the system did not function adequately due to a bug.
The latest CrowdStrike issue occurred on a Windows PC, but according to this article, CrowdStrike issues have also occurred on Linux in the past.
There have been cases of similar bugs in the past at other companies. In 2005, Trend Micro, a major antivirus software manufacturer, made a mistake in creating a pattern file to identify virus software, causing PCs to enter an infinite loop. The company where I worked at the time also suffered great damage.
Normally, when a pattern file is created at the company's Philippine lab, newly added patterns are tested individually and the entire pattern file is tested repeatedly on multiple operating systems to ensure safety before it is distributed to users. However, for some reason, some tests were omitted from the pattern file "2.594.00" distributed on the morning of the 23rd.
This kind of thing happens in the past and now too.
この記事が気に入ったらサポートをしてみませんか?