名前付きパイプを利用した攻撃への設定ファイルが原因？ CrowdStrikeがWindows大規模障害の原因を明らかに

　セキュリティ対策ソフトベンダーである米CrowdStrikeは、18日（現地時間）から全世界で発生しているWindows OSの大規模障害の原因を説明するブログを20日（現地時間）に公開した。

　今回のトラブルの原因となったのは、CrowdStrikeが提供しているセキュリティ対策ソフト「Falcon」。新しい攻撃手法を検知するために配布している設定ファイル（同社はチャネルファイルと呼んでいる）に誤りがあり、その結果Windowsが動作を止めてしまい、Blue Screen of Death（BSOD）を表示させてしまっている。

　今回、問題となった設定ファイルは、Windowsの名前付きパイプを悪用した攻撃に対応するためのものだという。最近になってこの種の攻撃を確認したCrowdStrikeは、対応策として今回の設定ファイルを用意した。名前付きパイプとは、同一コンピューターで動作している別々のプロセスの間の通信、あるいはネットワークでつながったほかのコンピュータで動作しているプロセスとの通信に使える仕組みだ。

　設定ファイルについて同社は、新しい攻撃手法を確認したら、その攻撃を検知させるためになるべく早く設定ファイルを作成して配布していると説明している。そして、設定ファイルを1日に何度も配布することも珍しいことではないという。

　今回、問題を引き起こした設定ファイルは「C-00000291*.sys」という名称で、7月18日（木）の23:09から0:27の間（どちらも米国中部標準時）に配布したものだという。このファイルはWindowsの「C:¥Windows¥System32¥drivers¥CrowdStrike¥」フォルダに入っている。Falconがこの設定ファイルを読み込んで、誤動作を起こした。FalconはWindowsのカーネルモードで動作しているため、Falconの誤動作がWindows全体を停止させてしまったと考えられる。ただしCrowdStrikeは、原因となった設定ファイルについて、あくまで設定ファイルであり、カーネルモードのドライバではないと明言している。

　問題が発生し、正常に動作しなくなった場合、Windowsをセーフモードで起動し、上記のフォルダを探して、問題となっている設定ファイルを削除すればよい。しかし、手作業で1台1台のコンピュータを操作してファイルを削除するには時間がかかる。企業で使っているコンピュータの大多数が停止してしまっているような場合、手作業では回復に時間がかかりすぎる。

　そこでMicrosoftは、この作業を容易にするプログラムの配布を20日（現地時間）に始めた。このプログラムは、起動可能なUSBメモリを作成するもので、作成したUSBメモリから起動すると、前述の設定ファイルを削除するスクリプトが自動的に動作する。USBメモリを作成したら、問題が起こっているコンピュータに差し込んで、「F12」キーを押しながら電源を入れる。削除が完了したら通常の手順で電源を入れれば正常に起動する。