CrowdStrikeは7月19日(米国時間)、「Statement on Falcon Content Update for Windows Hosts - crowdstrike.com」において、Windowsホスト向けのアップデートに不具合あり、影響を受けたWindowsでクラッシュが発生することを明らかにした。同社は事態の重大さを理解していると説明し、不便と迷惑をかけたことを深く謝罪している。

Statement on Falcon Content Update for Windows Hosts - crowdstrike.com○世界中でWindowsがクラッシュCrowdStrikeのアップデートを適用したのち、Windowsがブルースクリーン(BSoD: Blue Screen of Death)になり利用できない状況になるという発表が相次いだ。CrowdStrikeはアップデートの一部に欠陥があり、影響を受けたWindowsでクラッシュが発生することを認める発表を行った。CrowdStrikeは状況の詳細として、以下を伝えている。Falconセンサーに欠陥がありシャットダウン(ブルースクリーン)が発生するホストが確認されている影響を受けていないWindowsにおいては、問題のあるファイルが元に戻されているためすでにアクションは必要ない0527 UTC以降にオンラインになったWindowsホストは影響を受けないこの問題はMacまたはLinuxベースのホストには影響しないタイムスタンプが0409 UTCのファイル「C-00000291*.sys」が問題のあるバージョンであるタイムスタンプが0527 UTC以降のファイル「C-00000291*.sys」が元に戻された正常なバージョンである○影響を受けるWindowsかどうか調べる方法CrowdStrikeは影響を受けるWindowsかどうか調べる方法として、次のドキュメントを確認することを求めている。How to identify hosts possibly impacted by Windows crashesまたは「サポート・ポータル」にログインするよう求めている。○クラッシュしているWindowsにおける回避方法クラッシュしているWindowsの解決策として、CrowdStrikeはWindowsを再起動して正常になったファイルをダウンロードすることを求めている。Windowsが再度クラッシュする場合は、次の手順で操作することを推奨している。WindowsをセーフモードまたはWindows回復環境で起動する。この際、無線LANではなく有線LANを使うことが推奨される%WINDIR%\System32\drivers\CrowdStrikeディレクトリに移動する。WinRE/WinPEではOSボリュームのWindows\System32\drivers\CrowdStrikeディレクトリに移動する「C-00000291*.sys」に一致するファイルを見つけて削除するホストを通常どおり起動するなお、BitLockerで暗号化されたホストでは、回復キーが必要になる場合があるという。パブリッククラウドまたは仮想環境を含む同様の環境における回避方法としては、次の手順が示されている。影響を受ける仮想サーバーからオペレーティングシステムのディスクボリュームを切り離す安全策としてディスクボリュームのスナップショットまたはバックアップを作成するボリュームを新しい仮想サーバに接続・マウントする%WINDIR%\System32\drivers\CrowdStrikeディレクトリに移動する「C-00000291*.sys」に一致するファイルを見つけて削除する新しい仮想サーバからボリュームを切り離す影響を受けた仮想サーバに固定ボリュームを再接続するまた、すでにスナップショットが作成されている場合は、0409 UTCより前のスナップショットにロールバックする方法もあるとされている。○AWSまたはAzureを使っている場合Amazon Web Services (AWS)およびMicrosoftは、一連の問題に対して、次のドキュメントを公開して対処方法を伝えている。Recover AWS resources affected by the CrowdStrike Falcon agent | AWS re:PostAzure statusこの問題は、さまざまなベンダーが自社製品に関連する観点から情報を公開しており、それぞれの情報を適切に理解し対応することが望まれている。○サイバーセキュリティ攻撃ではないCrowdStrikeはこの問題をアップデートに不具合が含まれていたことが原因であり、同社に対するサイバー攻撃が原因ではないと説明している。また、影響を受けるのはWindowsでありMacやLinuxは影響を受けないとも説明している。この問題は世界中でWindowsのクラッシュを引き起こしており、日本においても問題が発生している。CrowdStrikeを利用しており、CrowdStrikeのアップデート後にブルースクリーンが発生するようになった場合は、この問題の影響を受ける可能性がある。CrowdStrikeの提供する情報を確認するとともに、提示されている回避方法などを適用することが望まれる。