“曜日にアップデートをプッシュしないで”
みんな!さあ、始めよう。この日々に目覚めてソーシャルメディアを見たら、あなたの日は台無しになる。つまり、その日にやったことすべてが台無しになる。だって、火事だからさ!ソーシャルメディアにはただ一つの話題しかなかった、それが「CrowdStrike」だ。
じゃあ、何が起こったんだ?何が起こったかを知るために、この問題を引き起こしたCrowdStrike Falconについて知る必要がある。
01. CrowdStrike Falconとは
企業は大量のコンピュータを運用しており、サイバー脅威から保護する必要がある。そこでEDR(Endpoint Detection and Response)を使用する。
EDRは、コンピュータのセキュリティガードのように常に監視し、疑わしい活動を検出して保護するシステムだ。CrowdStrike Falconセンサーは、リアルタイムで脅威を検出し、対応する高度なEDRソリューションである。これにより、複数のエンドポイントにわたるセキュリティ脅威を迅速に特定し、軽減する。フォーチュン500企業の298社がCrowdStrike Falconセンサーを使用している。
02. 何が原因か
脅威を効果的に検出、分析、封じ込めるために、CrowdStrike Falconセンサーはカーネルレベルのアクセスを必要とする。この特権アクセスにより、エンドポイントを深く監視し、脅威を特定し、その行動を分析し、迅速に対応して被害を防ぐことができる。
カーネルレベルのアクセスを持っているため、センサーが誤作動するとカーネルにも影響を及ぼすことがある。
金曜日にCrowdStrikeがアップデートをプッシュし、自動アップデートが有効なため、多くのコンピュータが自動的にアップデートされた。
そのアップデートにはセンサー構成の論理エラーが含まれていた。
03. 修正方法
こんなふうにやられちゃったら、以下の方法で修正できる。ただし、CrowdStrikeの仮想マシンを持っていないので実演はできない。
個別ホストの場合:
- セーフモードまたはWindows回復環境で起動:これにより、故障したセンサーの読み込みが防止される。
- CrowdStrikeディレクトリに移動:%WINDIR%\System32\drivers\CrowdStrikeに移動する。
- 問題のあるファイルを削除:”C-00000291*.sys”に一致するファイルを見つけて削除する。
- システムを再起動:これにより、センサーが正しく再インストールされる。
公共クラウドまたは仮想環境の場合:
- オペレーティングシステムディスクボリュームをデタッチ:進行前にバックアップを作成する。
- 新しい仮想サーバーにボリュームをアタッチ/マウント:これにより問題が隔離される。
- 問題のあるファイルを削除:個別ホストの場合と同じ手順に従う。
- 修正されたボリュームを影響を受けた仮想サーバーに再アタッチ:変更を復元する。