中信証券研によると、2024年7月19日、CrowdStrikeの構成更新ミスにより850万台のWindowsホストシステムが崩壊し、航空会社/空港、列車、放送会社、病院、金融機関、政府機関などの世界の重要業界の業務運営に深刻な影響を与え、航空便の欠航、医療プログラムのキャンセル/中断、メディアの放送停止などの重大な影響を与えた。現在、関連する構成エラーは修正されていますが、完全に解決するには数日かかります。
今回の事件は、CrowdStrikeが一定の経済的損失に直面し、より深刻な名誉損失に直面するか、CrowdStrikeの既存および潜在的な顧客が協力関係を再考することを引き起こすか、CrowdStrikeの主要な競合他社はそれによって利益を得ることになるだろう。
■イベントの説明：エンドポイントセキュリティベンダーのCrowdStrike構成の更新により、Windowsシステムの一部がクラッシュしました。
UTC時間2024年7月19日4時頃（北京時間12時頃）、エンドポイントセキュリティメーカーのCrowdStrikeが発表したFalcon Sensor（PC/仮想マシンのオペレーティングシステム活動を監視するためのエージェント、潜在的な脅威を検出し阻止するための）アップデートにより、世界中でこのエージェントをインストールしているWindowsシステムが大規模にダウンタイムし、世界数百万台のPC/サーバ/仮想マシンが「ブルースクリーン・ハングアップ」（BSOD）エラーのためオフラインになった。CrowdStrikeは世界的なヘッドエンドポイントセキュリティ製品ベンダーであるのに対し、世界的に主流のPCはWindowsシステムを搭載しているため、今回の誤った更新により銀行、航空会社、スーパーマーケット、テレビ放送会社などが影響を受け、航空指揮システムに影響を与えて航空会社が欠航/緊急着陸し、チケット予約/改札/決済システムに影響を与えて各種類のオフラインサービスシーンが正常に動作しなくなり、一部の工場の生産プロセスにも影響を受け、近年最も波及範囲が広いIT事故となった。
■イベント原因：Falcon Sensorチャネルファイルの更新により論理エラーが発生し、オペレーティングシステムがクラッシュしました。
CrowdStrike公式サイトの技術ブログの内容によると、UTC時間2024年7月19日04時09分、CrowdStrikeはWindowsシステムにFalcon Sensorの構成更新を発表した。この構成更新はシステム崩壊の核心的な原因であり、いかなるサイバー攻撃とは関係がない。CrowdStrikeによると、更新されたプロファイルは「チャネルファイル」と呼ばれ、Falcon Sensor動作保護メカニズムの一部である。チャネルファイルの更新はFalcon Sensorが実行する通常の一環であり、CrowdStrikeは毎日発見された新しい戦術、技術、戦略に基づいて何度も更新しています。今回影響を受けたチャネルファイルは291で、ファイル名は&amp ;quot; C-00000291- "最初に、.sys拡張子で終わります。チャネルファイル291は、Windowsシステムにおける命名パイプラインの実行状況（Windowsシステムにおけるプロセス間またはシステム間通信のための命名パイプライン）を評価するために使用され、今回の更新は、最近観察された悪意のある命名パイプラインに対して意図されているが、構成更新は論理エラーを引き起こし、オペレーティングシステムがクラッシュする原因となっている。
■補完手段：構成エラーは修正されましたが、ダウンタイムの問題は徐々に解決する必要があります。
公式サイトのテクニカルブログの内容によると、Windowsシステムのクラッシュを招いた構成更新はUTC時間7月19日05：27に修正された。同社によると、今回の影響はLinuxとmacOSホストには及ばず、UTC時間05：27以降にオンラインになったWindowsホストにも影響はないという。すでに波及しているホストについては、会社は異なる状況のソリューションを提供している：1）優先的にWiFiではなく有線ネットワーク環境でホストを再起動し、リカバリされたチャネルファイルをダウンロードできるようにする。2）再起動後もシステムがクラッシュしている場合は、WindowsをセーフモードまたはWindowsリカバリ環境に起動し、オペレーティングシステムボリュームのCrowdStrikeディレクトリにナビゲートし、チャネルファイル291を見つけて削除し、シャットダウン状態からホストを起動する必要があります。3）BitLockerを使用して暗号化されたホストでは、通常、システムのセキュリティを確保するためにセキュリティモードに入ったときにリカバリキーを入力する必要があり、パブリッククラウドまたは仮想環境では、スクリプトを自動化することで一括リカバリを実現することができます。しかし、物理サーバやPCデバイスの場合は、IT管理者が手動で入力することでしかリカバリできず、リカバリサイクルが長くなります。この結果、一部のホストは迅速なリカバリが可能であり、包括的な解決には数日かかると判断しました。
■その後の影響：CrowdStrikeまたは経済的および名誉的損失に直面し、エンドポイントセキュリティ市場の構造も変化する可能性があります。
マイクロソフトの公式サイトによると、今回影響を受けたWindowsのホスト数は約850万台で、これはCrowdStrikeサービスのエンドポイント数の約20%を占めている。ソフトウェア会社の契約締結の慣例に従って、通常は顧客の直接的な経済的損失を賠償する必要はありません。しかし、契約には通常、サービス利用可能時間やレスポンス、解決時間などを要求するSLA（Service Level Agreement）が設定されており、CrowdStrikeが関連要件に達していない場合は、顧客に一定の補償を提供するか、将来のサービス費用を相殺するためにSLAポイントを提供する必要があります。同時に、企業は広報/ブランド/修復関連の支出を増やし、評判とブランドイメージの損失を負担する必要があります。ダウンタイムイベント自体は例外ではありませんが、AWS、Azure、Atlassian（2022年4月）、Datadog（2023年3月）では同様のイベントが発生しています。しかし、今回の事件の波及範囲が大きすぎることを考慮すると、関連損害もさらに深刻になると考えられる。今回の事件の後、CrowdStrikeの既存および潜在的な顧客が協力関係を見直すことになるか、CrowdStrikeの主要な競争相手はそれによって利益を得ることになるだろう。
■リスク要因：
原油価格の上昇による欧米の高インフレのさらなる暴走リスク、米債金利の急速な上昇リスク、科学技術大手に対する政策監督管理はリスクを持続的に引き締める、世界のマクロ経済回復は予想されたリスクに及ばない、マクロ経済の変動による欧米企業のIT支出の予想外のリスク、安全プラットフォーム化の進展は予想されたリスクに及ばない、世界のクラウドコンピューティング市場の発展は予想されたリスクに及ばない、クラウドコンピューティング企業のデータ漏洩、情報セキュリティリスク、業界競争はリスクなどを激化させ続けている。
■投資戦略：
CrowdStrikeの構成更新ミスは850万台のWindowsホストシステムの崩壊を引き起こし、航空会社/空港、列車、放送会社、病院、金融機関、政府機関などの世界の重要業界の業務運営に深刻な影響を与え、航空便の欠航、医療プログラムのキャンセル/中断、メディアの放送停止などの重大な影響をもたらした。現在、関連する構成エラーは修正されていますが、完全に解決するには数日かかります。今回の事件は、CrowdStrikeが一定の経済的損失に直面し、より深刻な名誉損失に直面するか、CrowdStrikeの既存および潜在的な顧客が協力関係を再考することを引き起こすか、CrowdStrikeの主要な競合他社はそれによって利益を得ることになるだろう。