CrowdStrike の全世界的なシステム障害: ソフォスのガイダンス

製品CrowdStrike

ソフォスのお客様やパートナーから寄せられた重要な質問にお答えします。

20247月 23作成者:

2024 年 7 月 19日、CrowdStrike が Windows デバイス上で CrowdStrike Falcon のエンドポイントエージェントを実行している顧客に対して「コンテンツアップデート」を展開したところ、旅行、銀行、医療、小売を含む世界中のさまざまな業界に混乱をもたらしました。

攻撃者たちは一般的に、大規模な混乱やインシデントに乗じて被害者を攻撃します。本記事では、今回のインシデントに対するソフォスの見解を明らかにし、ソフォスのお客様やパートナーから寄せられた重要な質問にお答えします。

ソフォスと競合他社を含め、サイバーセキュリティ分野のすべての企業が目標としているのは、企業・組織の安全を確保し、攻撃者から守ることです。商業的な舞台では競い合っていますが、私たちにとって何よりも重要なのは、コミュニティとして団結し、共通の敵であるサイバー犯罪者に対抗することです。私たちは今回、同業者としての支援を CrowdStrike に届けるとともに、影響を受けたすべての組織が一刻も早く復旧し、平常に戻ることを祈ります。

サイバーセキュリティは非常に複雑で、その環境は急速に進化しています。  ソフォスの CEO であるジョー・レヴィは、LinkedIn で次のように述べています。「カーネルに関与している者であれば、一度や二度はサイバーセキュリティの脅威を身をもって感じたことがあるはずです。そして、どのような予防策を講じたとしても、100% 免れることはできません。」

問題の概要

  • 今回の原因は CrowdStrike で起きたセキュリティインシデントではなく、サイバー攻撃でもありません。
  • セキュリティインシデントが原因ではありませんが、サイバーセキュリティは機密性、完全性、可用性で構成されるものです。可用性が影響を受けたことは明らかであるため、これはサイバーセキュリティの失敗であると断定できます。
  • Windows マシンでブルースクリーンを発生させたこの問題は、CrowdStrike の顧客に配布された製品の「コンテンツ」アップデートが原因でした。
  • Windows コンピューターおよびサーバー上で CrowdStrike Falcon エージェントを実行している組織が影響を受けた可能性があります。Linux と macOS のデバイスは、このインシデントの影響を受けませんでした。
  • CrowdStrike は、この問題に関連する展開されたコンテンツを特定し、変更部分を元に戻しました。CrowdStrike の顧客には、すでに修正ガイダンスが発行されています。

「コンテンツ」アップデートについて

今回のアップデートは、CrowdStrike のエンドポイントセキュリティソフトウェアに対する典型的な製品の「コンテンツ」アップデートであり、多くのソフトウェアプロバイダー (Sophos を含む) が定期的に行う必要があるタイプのものでした。

「保護アップデート」とも呼ばれるコンテンツアップデートは、エンドポイントセキュリティ製品の保護ロジックと最新の脅威を検出する能力を向上させます。ところが今回、CrowdStrike が配信したコンテンツアップデートが予期せぬ重大な結果をもたらしました。しかし、どのソフトウェアプロバイダーも完全無欠ではなく、このような問題は、業種に関係なく他のベンダーにも影響を与える可能性があります (そして、実際に影響が及んでいます)。

CrowdStrike の対応

CrowdStrike は自社のサイト上で声明を発表し、顧客向けの修正ガイダンスを公開しています。この問題の影響を受けた場合や CrowdStrike をご利用のお客様からお問い合わせを受けた場合には、以下の CrowdStrike 公式ページを参照してください。

https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/

これまでどおり、警戒が極めて重要です。サイバー犯罪者は、潜在的に悪意のあるドメインを登録し (タイポスクワッティング)、「CrowdStrike remediation (CrowdStrike の問題の修正)」に乗じたフィッシングキャンペーンを実行して、被害者につけ込もうとしています。CrowdStrike に連絡する場合、または CrowdStrike から連絡を受けた場合は、相手が正規の担当者であることを確認してください。

ソフォスの顧客は CrowdStrike の影響を受けましたか?

Sophos XDR または Sophos MDR と併せて Sophos Endpoint を使用しているお客様を含め、エンドポイント保護に Sophos を使用しているお客様は影響を受けませんでした。Sophos XDR と Sophos MDR で利用可能なソフォスの「XDR Sensor」エージェントを CrowdStrike Falcon のオーバーレイとして使用している少数のお客様は、影響を受けた可能性があります。

同様のサービスが停止するリスクを低減するために、ソフォスはどのような対策を行っていますか?

Sophos Endpoint を含め、すべてのエンドポイント保護製品は、定期的な製品アップデートを提供し、保護機能 (コンテンツ) のアップデートを継続的に公開しています。脅威は急速に変化するため、進化し続ける脅威に対応するにはタイムリーな保護ロジックのアップデートが不可欠です。

ソフォスは、30 年以上にわたり業界をリードするエンドポイント保護ソリューションを提供し、ソフォスそして業界がこれまでに対応したインシデントから多くの教訓を得てきました。この経験と知見に基づき、お客様の障害発生リスクを軽減するための強固なプロセスと手順を確立しています。しかし、そのリスクがゼロになることはありません。

ソフォスのすべての製品アップデートは、本番環境にリリースされる前に、社内の専用の品質保証環境でテストされます。本番稼動後、製品アップデートは社内でリリースされ、全世界のソフォス従業員とインフラストラクチャに提供されます。

すべての社内テストが完了し、アップデートが品質基準を満たしていることが確認された後、段階的にお客様にリリースされます。リリースはゆっくりと開始され、速度を上げながら、顧客ベースで時間をずらして行われます。テレメトリはリアルタイムで収集され、分析されます。アップデートに問題が発生した場合でも、影響を受けるシステムはごく少数であり、ソフォスが極めて迅速にロールバックすることができます。

お客様は、アップデート管理ポリシーの設定を通じて、Sophos Endpoint 製品アップデート (保護アップデートではない) を制御できます。ソフトウェアパッケージのオプションには、Recommended (ソフォスが管理)、固定期間のサポート、長期サポートがあり、アップデートを実行する日時を設定することができます。

製品アップデートと同様に、Sophos Endpoint のすべてのコンテンツアップデートは、本番リリース前にソフォスの品質保証環境でテストされ、すべてのリリースがソフォスの品質基準を満たしていることを確認します。お客様へのコンテンツリリースは、継続的な QA 管理の一環として段階的に行われ、必要に応じてテレメトリに基づいたリリースの監視と調整が行われます。

ソフォスは、ソフォスのソリューションが安全かつ効率的に構築されるよう、セキュアな開発ライフサイクルに従っています (詳細は Sophos Trust Center をご確認ください)。Sophos Endpoint のリリースと開発の原則に関する詳細は、ソフォスのナレッジベースでご覧いただけます。

著者について

Sophos is a global leader and innovator of advanced security solutions that defeat cyberattacks, including Managed Detection and Response (MDR) and incident response services and a broad portfolio of endpoint, network, email, and cloud security technologies. As one of the largest pure-play cybersecurity providers, Sophos defends more than 600,000 organizations and more than 100 million users worldwide from active adversaries, ransomware, phishing, malware, and more. Sophos’ services and products connect through the Sophos Central management console and are powered by Sophos X-Ops, the company’s cross-domain threat intelligence unit. Sophos X-Ops intelligence optimizes the entire Sophos Adaptive Cybersecurity Ecosystem, which includes a centralized data lake that leverages a rich set of open APIs available to customers, partners, developers, and other cybersecurity and information technology vendors. Sophos provides cybersecurity-as-a-service to organizations needing fully managed security solutions. Customers can also manage their cybersecurity directly with Sophos’ security operations platform or use a hybrid approach by supplementing their in-house teams with Sophos’ services, including threat hunting and remediation. Sophos sells through reseller partners and managed service providers (MSPs) worldwide. Sophos is headquartered in Oxford, U.K. More information is available at www.sophos.com.