不具合: CrowdStrike (まとめ)

malware-log.hatenablog.com

【不具合: CrowdStrike 】

◆CrowdStrike Falcon Sensor (まとめ)
https://incidents.hatenablog.com/entry/CrowdStrike_Falcon_Sensor

【辞書】

◆クラウドストライク事件 (Wikipedia)
https://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%A9%E3%82%A6%E3%83%89%E3%82%B9%E3%83%88%E3%83%A9%E3%82%A4%E3%82%AF%E4%BA%8B%E4%BB%B6

【概要】

項目	内容
発生ソフト	CrowdStlike Falcon Sensor (EDR)
発生日時	2024/07/19 13:09
発表日時	2024/07/19 16:15
原因	●Falcon Sensor(EDR) のドライバー csagent.sys の不具合 ●Falcon Sensor のチャネルファイル(設定ファイル, 例: C-00000291*.sys)の設定ミス ●21個目の入力フィールドを参照するよう指示したのが原因(入力フィールドは20個) ●境界外のメモリー読み取りが発生
被害PC	約850万台
被害対象	●CrowdStlike Falcon Sensor をインストールしたWindows搭載の PC / サーバー / M365マシン ●Windows 7またはWindows Server 2008 R2を実行しているホストは影響なし
損害賠償額	●数百億ドル (推定) ●2.3兆円 *1
関連した犯罪	フィッシング等の詐欺行為が発生
お詫び	ウーバーイーツの１０ドルクーポン
便乗攻撃	Daolpu

■対処法

セーフモードまたは Windows 回復環境で起動
%windir%\System32\drivers\CrowdStrike\C-00000291*.sys を削除
再起動

◇その他の対処法

影響を受けたデバイスを数回再起動すると問題が解決する可能性がある(最大で15回必要という情報あり*2 )

【公開情報】

◆CrowdStrike社のセキュリティソフトに起因するWindowsのシステム障害（BSOD）について (マクニカ, 2024/07/19)
https://www.macnica.co.jp/business/security/manufacturers/crowdstrike/news20240719.html
⇒ https://incidents.hatenablog.com/entry/2024/07/19/000000_5

※: 詳細な対処情報が日本語で記載されています

【ニュース】

■2024年

◇2024年7月

□2024年7月19日 (金)

◆CrowdStrike code update bricking Windows machines around the world (The Register, 2024/07/19 06:46)
[CrowdStrikeのコード更新で世界中のWindowsマシンがレンガ化]
https://www.theregister.com/2024/07/19/crowdstrike_falcon_sensor_bsod_incident/
⇒ https://incidents.hatenablog.com/entry/2024/07/19/000000

◆Major Windows BSOD issue takes banks, airlines, and broadcasters offline (The Verge, 2024/07/19 16:17)
[ウィンドウズBSODの重大問題で銀行、航空会社、放送局がオフラインに]
https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue
⇒ https://incidents.hatenablog.com/entry/2024/07/19/000000_1

◆世界中でWindowsがブルースクリーンになるエラー- セキュリティエージェントが原因 (マイナビニュース, 2024/07/19 16:09)
https://news.mynavi.jp/techplus/article/20240719-2988909/
⇒ https://incidents.hatenablog.com/entry/2024/07/19/000000_3

◆世界規模のWindows障害が情シス的にだいぶ恐怖なワケ　ブルースクリーン多発事件 (ITmedia, 2024/07/19 18:09)
https://www.itmedia.co.jp/news/articles/2407/19/news175.html
⇒ https://incidents.hatenablog.com/entry/2024/07/19/000000_4

◆米クラウドストライク、カーツCEOが状況説明もユーザーは恨み節　「配布前にテストしたのか？」「なぜ金曜日に」 (ITmedia, 2024/07/19 21:56)
https://www.itmedia.co.jp/news/articles/2407/19/news191.html
⇒ https://incidents.hatenablog.com/entry/2024/07/19/000000_2

□2024年7月20日 (土)

◆米国株式市場＝続落、システム障害受け　クラウドストライク11％安 (ロイター, 2024/07/20 06:16)
https://jp.reuters.com/markets/us/4VHIDK4H3NLKHPQLEKZCBBSX7U-2024-07-19/
⇒ https://incidents.hatenablog.com/entry/2024/07/20/000000

◆大規模IT障害、クラウド型の最新セキュリティーに死角 (日経新聞, 2024/07/20 08:39)
https://www.nikkei.com/article/DGXZQOGN19DU90Z10C24A7000000/
⇒ https://incidents.hatenablog.com/entry/2024/07/20/000000_3

◆Microsoft confirms CrowdStrike update also hit Windows 365 PCs (BleepingComputer, 2024/07/20 11:24)
[マイクロソフト、CrowdStrikeのアップデートがWindows 365 PCにも影響したことを確認]
https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-365-cloud-pcs-stuck-restarting-after-crowdstrike-update/
⇒ https://incidents.hatenablog.com/entry/2024/07/20/000000_6

◆今回のシステム障害、補償はどうなる？…「保険上の大惨事」「経済的損害は数百億ドル」 (読売新聞, 2024/07/20 21:24)
https://www.yomiuri.co.jp/economy/20240720-OYT1T50155/
⇒ https://incidents.hatenablog.com/entry/2024/07/20/000000_5

◆Windows端末の障害問題に便乗するサイバー攻撃が発生中 (Security NEXT, 2024/07/20)
https://www.security-next.com/159960
⇒ https://incidents.hatenablog.com/entry/2024/07/20/000000_1

◆CrowdStrike、Windows環境での不具合で声明 - 復旧方法も紹介 (Security NEXT, 2024/07/20)
https://www.security-next.com/159956
⇒ https://incidents.hatenablog.com/entry/2024/07/20/000000_2

◆セキュリティーソフト更新の影響で世界的にIT障害　各地で空港や銀行が運営できず (BBC, 2024/07/20)
https://www.bbc.com/japanese/articles/cxw2gpz9k2zo
⇒ https://incidents.hatenablog.com/entry/2024/07/20/000000_4

□2024年7月21日 (日)

◆システム障害、端末850万台が影響　米国ではなお欠航も (日経新聞, 2024/07/21 06:05)
https://www.nikkei.com/article/DGXZQOGN2046Z0Q4A720C2000000/
⇒ https://incidents.hatenablog.com/entry/2024/07/21/000000

□2024年7月22日 (月)

◆CrowdStrike関連の機能停止でデルタ航空は4000便以上をキャンセル、病院や政府機関にも甚大な影響を及ぼしている (Gigazine, 2024/07/22 17:00)
https://gigazine.net/news/20240722-crowdstrike-issue-flight/
⇒ https://incidents.hatenablog.com/entry/2024/07/22/000000

◆Microsoftが「CrowdStrikeの障害の原因は欧州委員会のクレーム」と当てこすり、なぜMacは無傷だったのかも浮き彫りに (Gigazine, 2024/07/22 14:05)
https://gigazine.net/news/20240722-microsoft-crowdstrike-eu/
⇒ https://incidents.hatenablog.com/entry/2024/07/22/000000_1

◆多数のWindowsでブルースクリーンを発生させてしまったCrowdStrikeのコードは何が悪かったのか (Gigazine, 2024/07/22 12:20)
https://gigazine.net/news/20240722-windows-crowdstrike-bsod-analysis/
⇒ https://incidents.hatenablog.com/entry/2024/07/22/000000_2

□2024年7月23日 (火)

◆全世界的なCrowdStrike問題の中でニューヨーク市地下鉄などは「時代遅れのシステム」のおかげで被害を免れた (Gigazine, 2024/07/23 08:00)
https://gigazine.net/news/20240723-crowdstrike-outage-mta-kept-going/
⇒ https://incidents.hatenablog.com/entry/2024/07/23/000000

◆マイクロソフト、クラウドストライクの障害に対応した復旧ツールを公開 (ZDNet, 2024/07/23 08:57)
https://japan.zdnet.com/article/35221794/
⇒ https://incidents.hatenablog.com/entry/2024/07/23/000000_4

□2024年7月24日 (水)

◆CrowdStrike: 'Content Validator' bug let faulty update pass checks (BleepingComputer, 2024/07/24 10:16)
[CrowdStrike：「Content Validator」のバグにより、欠陥のあるアップデートがチェックを通過してしまう]
https://www.bleepingcomputer.com/news/security/crowdstrike-content-validator-bug-let-faulty-update-pass-checks/
⇒ https://incidents.hatenablog.com/entry/2024/07/24/000000

□2024年7月25日 (木)

◆お詫びに「ウーバーイーツの１０ドルクーポン」、大規模障害引き起こしたクラウドストライク (CNN, 2024/07/25 13:00)
https://www.cnn.co.jp/tech/35221934.html
⇒ https://incidents.hatenablog.com/entry/2024/07/25/000000

◆CrowdStrikeのブルースクリーン問題からの復旧マニュアルを装ったマルウェアが出現 (Internat Watch, 2024/07/25 13:30)
https://internet.watch.impress.co.jp/docs/yajiuma/1611043.html
⇒ https://malware-log.hatenablog.com/entry/2024/07/25/000000_4　[TT Malware Log]

□2024年7月26日 (金)

◆ウィンドウズ障害、被害額2.3兆円? 　保険会社「最大の出来事」 (朝日新聞, 2024/07/26 05:00)
https://digital.asahi.com/articles/ASS7T3CXHS7TUTIL011M.html
⇒ https://incidents.hatenablog.com/entry/2024/07/26/000000

◆クラウドストライクに起因する大規模障害--14年前のインシデントとの奇妙な共通点 (ZDnet, 2024/07/26 07:00)
https://japan.zdnet.com/article/35221937/
⇒ https://incidents.hatenablog.com/entry/2024/07/26/000000_4

□2024年8月2日 (金)

◆大規模障害の混乱に乗じる攻撃者 - 偽マニュアルや偽復旧ツール出回る (Security NEXT, 2024/08/02)
https://www.security-next.com/160443
⇒ https://malware-log.hatenablog.com/entry/2024/08/02/000000　[TT Malware Log]

□2024年8月8日 (木)

◆なぜ史上最大規模の障害は発生したのか、クラウドストライクが「根本原因」を公表 (日経XTECH, 2024/08/08)
https://xtech.nikkei.com/atcl/nxt/column/18/00001/09649/
⇒ https://incidents.hatenablog.com/entry/2024/08/08/000000_2

□2024年8月10日 (土)

◆あのWindows障害がもう「CrowdStrikeだけの問題」ではない理由 (TechTarget, 2024/08/10 08:30)

Windows搭載の850万台のPCに発生したブルースクリーン問題で、CrowdStrikeはさまざまな問題を背負うことになった。だがこの障害を、CrowdStrikeだけの問題と捉えることはできない。どのような問題が残されているのか。

https://techtarget.itmedia.co.jp/tt/news/2408/10/news03.html
⇒ https://incidents.hatenablog.com/entry/2024/08/10/000000

【公開情報】

◆Daolpu Stealer: ブラウザに潜む静かな脅威 (Cyclonis(Enigma), 2024/07/25)
https://www.cyclonis.com/ja/remove-daolpu-stealer/
⇒ https://malware-log.hatenablog.com/entry/2024/07/25/000000_3　[TT Malware Log]

【検索】

■Google

google: CrowdStrike
google: クラウドストライク
 google: Falcon Sensor

google:news: CrowdStrike
google:news: クラウドストライク
 google:news: Falcon Sensor

google: site:virustotal.com CrowdStrike
google: site:virustotal.com クラウドストライク
 google: site:virustotal.com Falcon Sensor

google: site:github.com CrowdStrike
google: site:github.com クラウドストライク
 google: site:github.com Falcon Sensor

■Bing

https://www.bing.com/search?q=CrowdStrike
https://www.bing.com/search?q=クラウドストライク
 https://www.bing.com/search?q=Falcon%20Sensor

https://www.bing.com/news/search?q=CrowdStrike
https://www.bing.com/news/search?q=クラウドストライク
 https://www.bing.com/news/search?q=Falcon%20Sensor

■Twitter

https://twitter.com/search?q=%23CrowdStrike
https://twitter.com/search?q=%23クラウドストライク
 https://twitter.com/search?q=%23Falcon%20Sensor

https://twitter.com/hashtag/CrowdStrike
https://twitter.com/hashtag/クラウドストライク
 https://twitter.com/hashtag/Falcon%20Sensor