Windowsのクラッシュ問題、Windows・AWS・Azureにおける解決策まとめ

CrowdStrikeは7月19日(米国時間)、「Statement on Falcon Content Update for Windows Hosts - crowdstrike.com」において、Windowsホスト向けのアップデートに不具合あり、影響を受けたWindowsでクラッシュが発生することを明らかにした。同社は事態の重大さを理解していると説明し、不便と迷惑をかけたことを深く謝罪している。

• Statement on Falcon Content Update for Windows Hosts - crowdstrike.com

世界中でWindowsがクラッシュ

CrowdStrikeのアップデートを適用したのち、Windowsがブルースクリーン(BSoD: Blue Screen of Death)になり利用できない状況になるという発表が相次いだ。CrowdStrikeはアップデートの一部に欠陥があり、影響を受けたWindowsでクラッシュが発生することを認める発表を行った。

CrowdStrikeは状況の詳細として、以下を伝えている。

• Falconセンサーに欠陥がありシャットダウン(ブルースクリーン)が発生するホストが確認されている
• 影響を受けていないWindowsにおいては、問題のあるファイルが元に戻されているためすでにアクションは必要ない
• 0527 UTC以降にオンラインになったWindowsホストは影響を受けない
• この問題はMacまたはLinuxベースのホストには影響しない
• タイムスタンプが0409 UTCのファイル「C-00000291*.sys」が問題のあるバージョンである
• タイムスタンプが0527 UTC以降のファイル「C-00000291*.sys」が元に戻された正常なバージョンである

影響を受けるWindowsかどうか調べる方法

CrowdStrikeは影響を受けるWindowsかどうか調べる方法として、次のドキュメントを確認することを求めている。

• How to identify hosts possibly impacted by Windows crashes

または「サポート・ポータル」にログインするよう求めている。

クラッシュしているWindowsにおける回避方法

クラッシュしているWindowsの解決策として、CrowdStrikeはWindowsを再起動して正常になったファイルをダウンロードすることを求めている。Windowsが再度クラッシュする場合は、次の手順で操作することを推奨している。

1. WindowsをセーフモードまたはWindows回復環境で起動する。この際、無線LANではなく有線LANを使うことが推奨される
2. %WINDIR%\System32\drivers\CrowdStrikeディレクトリに移動する。WinRE/WinPEではOSボリュームのWindows\System32\drivers\CrowdStrikeディレクトリに移動する
3. 「C-00000291*.sys」に一致するファイルを見つけて削除する
4. ホストを通常どおり起動する

なお、BitLockerで暗号化されたホストでは、回復キーが必要になる場合があるという。

パブリッククラウドまたは仮想環境を含む同様の環境における回避方法としては、次の手順が示されている。

1. 影響を受ける仮想サーバーからオペレーティングシステムのディスクボリュームを切り離す
2. 安全策としてディスクボリュームのスナップショットまたはバックアップを作成する
3. ボリュームを新しい仮想サーバに接続・マウントする
4. %WINDIR%\System32\drivers\CrowdStrikeディレクトリに移動する
5. 「C-00000291*.sys」に一致するファイルを見つけて削除する
6. 新しい仮想サーバからボリュームを切り離す
7. 影響を受けた仮想サーバに固定ボリュームを再接続する

また、すでにスナップショットが作成されている場合は、0409 UTCより前のスナップショットにロールバックする方法もあるとされている。

AWSまたはAzureを使っている場合

Amazon Web Services (AWS)およびMicrosoftは、一連の問題に対して、次のドキュメントを公開して対処方法を伝えている。

• Recover AWS resources affected by the CrowdStrike Falcon agent | AWS re:Post
• Azure status

この問題は、さまざまなベンダーが自社製品に関連する観点から情報を公開しており、それぞれの情報を適切に理解し対応することが望まれている。

サイバーセキュリティ攻撃ではない

CrowdStrikeはこの問題をアップデートに不具合が含まれていたことが原因であり、同社に対するサイバー攻撃が原因ではないと説明している。また、影響を受けるのはWindowsでありMacやLinuxは影響を受けないとも説明している。

この問題は世界中でWindowsのクラッシュを引き起こしており、日本においても問題が発生している。CrowdStrikeを利用しており、CrowdStrikeのアップデート後にブルースクリーンが発生するようになった場合は、この問題の影響を受ける可能性がある。CrowdStrikeの提供する情報を確認するとともに、提示されている回避方法などを適用することが望まれる。