欠陥のあるソフトウェア更新によって引き起こされた世界規模の IT 障害の規模の大きさに、1 つの企業のセキュリティ ソフトウェアに対する 1 回のアップデートが、これほど大きな影響を及ぼす可能性があるのか​​と多くの人が疑問を抱いています。

皮肉なことに、CrowdStrike の欠陥の影響は、まさにその欠陥が防ごうとしていたこととほぼ同じものとなっています…

影響の大きさの理由の 1 つは、CrowdStrike が世界中のほぼすべての大企業で使用されているという単純な事実です。

ユナイテッド航空、デルタ航空、アメリカン航空など、多くの航空会社が運航停止を余儀なくされています。放送局のスカイニュースは数時間にわたり放送停止となりました。多くの小売店は支払いを受け付けることができなくなりました。つまり、まさに大混乱で​​す。

しかし、ブルームバーグが説明しているように、残り半分はソフトウェアの性質によるものだ。

従来のウイルス対策ソフトウェアは、コンピュータとインターネットの黎明期には既知のマルウェアの兆候を探す機能があり有用でしたが、攻撃が高度化するにつれて人気が下がってしまいました。現在、CrowdStrikeが開発する「エンドポイント検知・対応」ソフトウェアと呼ばれる製品は、はるかに高度な機能を備え、マシンを継続的にスキャンして疑わしい活動の兆候を検出し、自動的に対応を行います。

しかし、そのためには、これらのプログラムに、コンピュータのオペレーティングシステムの中核部分にセキュリティ上の欠陥がないか検査するアクセス権を与える必要があります。このアクセス権により、プログラムは保護しようとしているシステムそのものを破壊できるようになるのです。

今日のITインフラにとって最大の脅威の一つは、破壊的なランサムウェア攻撃です。攻撃者は企業のミッションクリティカルなシステムを停止させ、身代金を支払うまで復旧させません。これはCrowdStrikeが防御を目的とする主要な脅威の一つです。

しかし、ソフトウェアにはマシンへの強力なアクセス権が与えられているため、ソフトウェアの欠陥は、ブロックするはずの種類の攻撃と同じくらいの潜在的な破壊力を持っています。

少なくとも今回のケースでは回避策があり、すぐに修正が提供されるでしょう。しかし、実際に修正を実施するには相当の時間がかかるでしょう。ロールアウトを自動化する方法がない可能性があるためです。影響を受けるマシンはダウンしているため、リモートからアクセスする手段がありません。ITスタッフが、取り外された各PCに物理的に赴くことになる可能性が高いでしょう（仮想マシンの場合は最大15回の再起動で解決できます）。

一時的な回避策でもマシンをセーフモードで起動する必要があり、多くのマシンではこれを不可能にする企業設定になっています。これも、起動時に実行されることを意図した保護をバイパスするセキュリティ上のリスクのためです。

Apple は独自のエンドポイント セキュリティ フレームワークを提供しているため、Mac は影響を受けません。

Unsplash の Ivan Vranić による写真

havebin.com を Google ニュース フィードに追加します。