2024-08-12 0420 UTC に更新

チャネルファイル291 RCAエグゼクティブサマリー

このドキュメントでは、クラウドストライクの根本原因分析(RCA)レポートの調査結果の概要を説明します。レポート全体にて、インシデント事後のプレレビュー(PIR)で以前に共有した情報を詳しく説明し、インシデントの調査結果、緩和策、技術的な詳細、根本原因分析についてさらに詳しく説明しています。本文書は、以下の英語版(https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/)の翻訳です。本翻訳版は、参照を容易にし、便宜上の目的でのみ提供されています。矛盾や曖昧さが生じた場合は、常に英語版が優先されるものとします。

根本原因分析のPDFダウンロード

はじめに

クラウドストライクは、進化する攻撃者から顧客を保護し、侵害を阻止するという使命を持って設立されました。2024年7月19日、クラウドストライクは通常運用の一環として、Windowsセンサーのコンテンツコンフィグレーション更新(チャネルファイル経由)をリリースし、その結果、システムクラッシュが発生しました。心よりお詫び申し上げます。

システムを復旧し、数時間以内に多くのシステムをオンラインに戻すために、即座に当社のチームにご協力いただいたお客様とパートナーの皆様の24時間体制での多大なご尽力に感謝いたします。2024年7月29日午後8時(米国東部夏時間)の時点で、コンテンツ更新前と比較して、Windowsセンサーの約99%がオンラインになりました。通常、センサー接続には前週比で1%以下の変動が見られます。まだ影響を受けているお客様には、すべてのシステムが復旧するまで当社は休まず努めることをご理解いただけますようお願い申し上げます。

発生事象について

CrowdStrike Falconセンサーは、AIと機械学習を提供し、最新の高度な脅威を識別して修復することで顧客のシステムを保護します。2024年2月、クラウドストライクは、特定のWindowsメカニズムを悪用する可能性のある新しい攻撃手法を可視化できる新しいセンサー機能を導入しました。この機能により、ラピッドレスポンスコンテンツがデータを収集するための一連のフィールドが事前に定義されました。RCAに概説されているように、この新しいセンサー機能は、当社の標準ソフトウェア開発プロセスに従って開発、テストされました。

2024年3月5日、ストレステストの成功を受け、コンテンツコンフィグレーションの更新の一部として、チャネルファイル291の最初のラピッドレスポンスコンテンツが実稼働環境にリリースされました。2024年4月8日から2024年4月24日の間に、さらに3つのラピッドレスポンス更新が展開されました。これらは実稼働環境で期待どおりに稼働しました。

2024年7月19日、2024年2月に最初にリリースされた新機能を進化させる、ラピッドレスポンスコンテンツの更新が特定のWindowsホストに配信されました。センサーは20個の入力フィールドを想定していましたが、更新では21個の入力フィールドが提供されました。このインスタンスの不一致により境界外メモリが読み出され、システムクラッシュを引き起こしました。当社の分析とサードパーティのレビューにより、このバグは脅威アクターによって悪用されないことが確認されています。

このチャネルファイル291のシナリオは、現在再発することはありませんが、クラウドストライクがレジリエンスをさらに強化するために展開しているプロセスの改善と緩和策に反映されています。

当社の対応と今後の予定

RCAの調査結果に基づいて、クラウドストライクがこれまでに講じた措置と今後講じる予定の措置の一部を以下にご説明します。

  • コンテンツコンフィグレーションシステムのテスト手順を更新: この作業は完了しております。作業には、テンプレートタイプ開発のテストのアップグレードと、既存のすべてのテンプレートタイプの自動テストが含まれます。テンプレートタイプはセンサーの一部であり、脅威検知エンジニアがラピッドレスポンスコンテンツに活用できる事前に定義されたフィールドが含まれています。
  • コンテンツコンフィグレーションシステムの展開レイヤーと受諾チェックを追加:この作業は完了しております。展開サイクルプロセスを更新し、テンプレートインスタンスが実稼働環境にロールアウトされる前に連続した展開サイクルを通過することが保証されます。
  • ラピッドレスポンスコンテンツの更新に対するさらなる制御をお客様に提供:新しい機能が実装され、クラウドに展開されました。これにより、お客様はラピッドレスポンスコンテンツの展開方法を制御できるようになり、さらなる追加機能も将来計画されています。
  • 問題のあるチャネル291ファイルの作成を防止:このような問題の発生を防ぐために、入力フィールドの数の検証が実装されました。
  • コンテンツバリデーターに追加のチェックを実装:さらなる追加のチェックが、2024年8月19日までに実稼働環境にリリース予定です。
  • チャネルファイル291のラピッドレスポンスコンテンツ向けにコンテンツインタープリターで境界チェックを強化:境界チェックは2024年7月25日に追加され、一般提供は2024年8月9日を予定しています。これらの修正プログラムは、センサーソフトウェアのホットフィックスリリースを通じて、すべてのWindowsセンサー バージョン 7.11以降にバックポートされます。
  • 二社の独立したサードパーティのソフトウェアセキュリティベンダーと連携し、Falconセンサーコードとエンドツーエンドの品質管理、リリースプロセスのレビューを強化:この作業はすでに開始されており、設計段階からセキュリティとレジリエンスに重点を置く取り組みの一環として継続されます。

詳細および定義された用語については、RCAをご覧ください。なお、本ドキュメントに含まれる日付はすべて米国時間における日付になります。