Windowsホスト向けFalconコンテンツ更新に関する技術情報
2024年7月20日
発生事象について
2024年7月19日(金) 午前4:09(UTC時間)に、CrowdStrikeは運用の一環として、Windowsシステムのセンサー設定の更新をリリースしました。センサー設定の更新は、Falcon プラットフォームの保護メカニズムの為の定例的な作業です。この設定の更新により、ロジックエラーが発生し、その影響を受けたシステムでシステムクラッシュとブルースクリーン(BSOD)が発生しました。
システムクラッシュの原因となったセンサー設定の更新は、2024年7月19日(金) 午前5:27(UTC時間)に修正されました。
この事象は、サイバー攻撃の結果でも、サイバー攻撃に関連するものでもありません。
影響範囲
2024年7月19日(金) 午前4:09(UTC時間)から2024年7月19日(金) 午前5:27 (UTC時間)までの間にオンラインだったWindowsバージョン7.11以降のFalconセンサーを実行しているお客様は、影響を受ける可能性があります。
Windows 7.11 以降の Falcon センサーを実行しているシステムで、午前 4:09 (UTC時間) から 午前5:27(UTC時間)までの間に更新された構成をダウンロードしたシステムは、システム クラッシュの影響を受けやすくなっていました。
設定ファイルに関する補足説明
上記の設定ファイルは「チャネルファイル」と呼ばれ、Falconセンサーで使用される動作保護メカニズムの一部です。チャネルファイルの更新は、通常のセンサーの動作であり、CrowdStrikeによって発見された新しい戦術、技術、および手順に応じて1日に数回更新が行われます。これは新しいプロセスではなく、このアーキテクチャは、Falconの運用開始時点から提供されてきました。
技術的な詳細
Windows システムでは、チャネル ファイルは次のディレクトリにあります。
C:\Windows\System32\drivers\CrowdStrike\
ファイル名が “C-“で始まります。各チャネルファイルには、一意の識別子として番号が割り当てられます。今回の事象で影響を受けるチャネルファイルは 291 で、ファイル名は “C-00000291-” で始まり、拡張子が .sys で終わります。チャネルファイルの末尾は SYS 拡張子ですが、カーネル ドライバーではありません。
チャネル ファイル291は、FalconがWindowsシステム上で名前付きパイプ1の実行を評価する方法を制御します。名前付きパイプは、Windows の通常の通信、プロセス間通信、またはシステム間の通信に使用されます。
午前4:09(UTC時間)に行われたアップデートは、サイバー攻撃で一般的なC2フレームワークによって使用されている、新たに観測された悪意のある名前付きパイプをターゲットにするように設計されました。設定の更新によりロジックエラーが発生し、オペレーティングシステムがクラッシュしました。
チャネル ファイル 291について
CrowdStrike は、チャネル ファイル 291 のコンテンツを更新することにより、ロジック エラーを修正しました。チャネル ファイル 291 に対する、更新されたロジック以外の変更は行われていません。Falconは、名前付きパイプの乱用に対する評価と保護を続けています。
これは、チャネル ファイル291または他のチャネル ファイルに含まれるnull バイトとは関係ありません。
修復方法について
最新の修復に関する推奨事項と情報は、当社のブログまたはサポートポータルでご覧いただけます。
一部のお客様は特定のサポートニーズをお持ちであることを理解しておりますので、弊社まで直接お問い合わせください。
現在影響を受けていないシステムは、引き続き期待どおりに動作し、保護を提供し続け、将来このイベントが発生するリスクはありません。
Linux または macOS を実行しているシステムは、チャネル ファイル 291 を使用していないため、影響を受けていません。
根本原因分析について
私たちはこの問題がどのように発生したかを理解しており、このロジックの欠陥がどのように発生したかを特定するために徹底的な根本原因分析を行っています。この取り組みは継続されています。私たちは、プロセスを強化するためにできる基本的な改善点やワークフローの改善点を特定することをお約束します。根本原因分析の結果は、調査の進行に応じて更新されます。
1 https://learn.microsoft.com/en-us/windows/win32/ipc/named-pipes