CrowdStrikeによるPC起動不能問題は過去にLinuxディストリビューションでも発生していた
2024年7月19日に、「Windowsがブルースクリーンになり、強制的に再起動を繰り返す」というトラブルが世界同時多発的に発生し、ユナイテッド航空やアメリカン航空などでは飛行機の運休などの障害も発生しています。この問題は、サイバーセキュリティサービスプロバイダーのCrowdStrikeがアップデートの際に問題のあるチャネルファイルを配信したことが原因でしたが、今回の問題が発生する以前にも、LinuxディストリビューションのDebianやRocky Linuxでも同様の問題が発生していたことが明らかになっています。
https://modzero.com/modlog/archives/2022/08/22/ridiculous_vulnerability_disclosure_process_with_crowdstrike_falcon_sensor/index.html
CrowdStrike broke Debian and Rocky Linux months ago, but no one noticed - Neowin
https://www.neowin.net/news/crowdstrike-broke-debian-and-rocky-linux-months-ago-but-no-one-noticed/
CrowdStrikeによると、今回の問題の発生原因は、サイバー攻撃で一般的に利用されている「Command and Control(C2)フレームワーク」の問題に対応するために、プログラム同士の通信方式のひとつである名前付きパイプのセキュリティを強化する際に発生したエラーが原因だったとのこと。このエラーによって、更新リリースの期間中にオンラインだったWindows向けのCrowdStrike Falcon SensorのVer.7.11以降を実行していたPCがクラッシュとブルースクリーンを繰り返す障害が発生したとされており、Microsoftは被害を受けた台数について「世界中で約850万台」と推定しています。
なお、今回の問題を受けてCrowdStirkeは「この問題の発生要因は把握しており、徹底的な根本原因の分析を実施しています」「今回の問題はすでに特定・分離され、修正プログラムが配布されています」と述べ、ジョージ・カーツCEO名義で顧客に対して謝罪文を掲載しています。
これまでにもCrowdStrike由来の問題は多数報告されており、2024年4月には、研究組織のCivicTech labのDebian Linuxサーバーがすべて同時にクラッシュし、起動を拒否するという障害が発生しました。これは、CrowdStrikeの更新が、特定のLinux設定がサポートされている最新安定版Debianと互換性がなかったのが原因だということが後に発覚しています。CivicTech Labでは、CrowdStrikeを削除するとマシンが起動できることを発見し、事態の対処にあたりました。
また、Rocky Linux 9.4にアップグレードしたユーザーからも「カーネルのバグによりサーバーがクラッシュする」という問題が報告されています。この問題に対しCrowdStrikeは「テストが不十分で、異なるオペレーティングシステム間の互換性の問題に対する注意が不十分でした」と主張しています。
さらに、ソフトウェア開発企業のModzeroは2022年8月に、CrowdStrikeに存在していた脆弱(ぜいじゃく)性を追及しています。Modzeroによると、この脆弱性はCrowdStrike Falcon Sensorの制御フロー管理が不十分な場合に、管理者権限を持つ攻撃者がCrowdStrikeのFalcon Agent Uninstall Protection機能をバイパスできてしまうというものだとのこと。
この脆弱性を利用した攻撃には、高い権限が必要であるため、脆弱性の全体的なリスクは非常に限定的でしたが、Modzeroはこの脆弱性をCrowdStrikeに報告。しかしCrowdStrikeは「開発中の最新版では問題が再現できない」とModzeroに通知し、「この問題は有効ではない」と判断したそうです。
その後、公開された最新版ではModzeroが指摘した脆弱性に対して「悪意のある動作」とのフラグが立てられていました。なおModzeroがCrowdStrikeのエクスプロイトに小さな変更を加えると、同様の脆弱性が出現したことが確認されています。Modzeroは「ベンダーと研究者は、互いに責任を持って行動し、相互の善意と透明性を示す必要があります」と批判しました。