2024年7月19日、ITインシデントが大きなニュースとなった。全世界で850万台のWindowsに障害が発生し、医療、運輸、金融などの多くのシステムが影響を受け、大きな社会的被害が発生した。これはサイバー攻撃ではなかったが、セキュリティソフトの不具合によるもので、当該セキュリティソフトを利用していた組織では、Windows端末が利用できなくなり、業務が止まってしまった。 New York Timesでは、この事件について、「歴史的規模」とのコメントを紹介した[1]。

情報セキュリティマネジメントシステムの国際標準であるISO/IEC 27002では、情報セキュリティを「情報の機密性（confidentiality）、完全性（integrity）、可用性（availability）を維持すること」と定義している。情報漏洩や情報改ざんなどで、機密性、完全性が話題になることも多いが、今回の問題は可用性の問題だったといえる。本稿ではこのインシデントについて取り上げ、課題と得られた教訓について検討したい。

インシデントの概要と影響

2024年7月19日午前4時9分（UTC：協定世界時）頃、米国のサイバーセキュリティ企業CrowdStrike（本社：テキサス州オースティン）がリリースしたWindows用のアップデートファイルが、システムクラッシュとブルースクリーン（BSOD：Blue Screen of Death）を引き起こすロジックエラーを発生させた。これにより、多くの端末がクラッシュを繰り返し起動不能となった。

これはサイバー攻撃によるものではないことが早々に確認され、同日午前5時27分（UTC）には修正ファイルがリリースされた。これにより、それ以降に起動した端末には影響はなくなったが、影響を受けた端末ではローカルでの作業が必要となる場合もあり、被害はすぐには収束しなかった。Microsoftは、自社のインシデントではないものの、「Windowsのエコシステムに影響を与える」として、Azure等を利用し直接サポートを実施。AWSやGoogle Cloud Platform等他のクラウドプロバイダや関係者とも協力して対応した。しかし、Microsoftによれば、この問題の影響を受けたWindows PCは世界で850万台に上ると推定されている。

これにより、世界各国で、緊急通報（米911）その他の通信、報道、医療、交通、政府サービス、金融などに大きな被害が出た。

緊急通報に関しては、米紙USA TODAYによれば、アラスカ他で911コールセンターが機能停止に陥ったほか、少なくとも7つの州で通信障害が発生し、全米で100件以上の障害報告があったとも報じられている[2]。仏Bouygues Telecomなどの通信事業者もこの影響を受けたとされる[3]。

報道にも影響が出た。英SKY Newsが放送できなくなった[4]ほか、他の世界各地の放送局も影響を受けた。

医療への影響もあった。米国などで、システムへのアクセスができなくなったことから、病院の予約や緊急を要さない手術がキャンセルされた。救急車の受け入れができなくなった病院もあるとされる[5]。緊急を要さない検査でも、がん患者の予後の管理に影響が出るなど、さまざまな問題が発生した[6]。

交通機関への影響も大きかった。米国FAAは同国の3大航空会社（American、United、Delta）に全世界での全フライトの一時停止を命じ、各社の航空機は離陸を許可されなかった。7月22日までに、10,000便以上の航空便がキャンセルされ、36,000以上が遅延したとされている[7]。また、世界各地で、システム障害により、搭乗券の発行や手荷物の預け入れなど、通常はシステムで行われているプロセスが手動で行われることになったとも報じられている[8]。特に被害が大きかったDelta航空では、5,000便以上が欠航した。Delta航空はCrowdStrikeとMicrosoftに少なくとも5億ドルの損害賠償を求めている[9]。

上記は被害の一部であり、英紙The Guardianは、保険会社の推定によれば、米国のFortune500企業の損失だけでも54億ドルに達すると報じている[10]。また、Bloombergは、保険で補償される損失額は、それよりもはるかに少なくなる見込みであると報じている。この報道によれば、保険関係企業の分析として、保険で補償される損失額は3億ドルから10億ドルの範囲、または4億ドルから15億ドルの間と推定されている[11]。保険でのカバーも難しいとすれば、顧客企業等にとっては、何とも悩ましい話である。

CrowdStrikeの対応

CrowdStrikeは責任を認め謝罪した。しかし、同社がDelta航空やその他の顧客企業の請求に応じる見込みはほぼない。CrowdStrikeと顧客との個別契約内容は不明であるものの、同社の利用規約によれば、提供物についてそのサブスクリプション／注文期間に同社に支払い済みまたは支払い義務がある料金を超える金額については、一切責任を負わないとされている[12]。

一方、技術的な対応としては、8月6日付の根本原因分析で、アップデートをリリースする前のテスト体制を見直すとともに、段階的なロールアウトを行うこと、アップデートの展開について顧客がコントロールできるようにすることなどを明らかにしている[13]。

インシデントの背景と対策

このインシデントの背景として、まず、Windowsプラットフォームのシェアが高く、その中でもCrowdStrikeのソリューションが約29,000社の法人に利用されていたことが挙げられる。Microsoftは、影響を受けたのは全Windows端末の1%未満であり割合としては小さいが、それにもかかわらず発生した広範な経済的、社会的影響の背景には、重要なサービスを提供している多くの企業がCrowdStrikeのソリューションを使用していたことがあると述べた。

また、CrowdStrikeのようなサードパーティソフトウェアが、OSの中心部（カーネル）で動作していたことが原因の一つとの指摘もある。Microsoftの広報担当は、同社が2009年に欧州委員会の申立に応じ、セキュリティベンダーに対して、同社と同等のOSへのアクセスを認めることで合意したと述べた（なお、一例として、MacOSはカーネルレベルのアクセスを許可していない）[14]。Microsoftは、今回のインシデントの再発防止策として、セキュリティソフトウェアがWindowsカーネルの外で動作するようにしたいと述べている。CrowdStrikeを含む各社が歓迎の意向を示しているが、これについては、「Microsoftだけが効果的なエンドポイントセキュリティを提供できる世界」につながるのではないかとの懸念の声も出ている[15]。

この事件の教訓

今回のインシデントでは、CrowdStrikeのソリューションを利用していた企業が被害を受けたばかりでなく、社会的な影響も大きくなった。

この事件から学ぶべきことは何だろうか。特定システムへの依存、ソフトウェアアップデートをリリースする際の検証、セキュリティサービスのあり方、事業継続に関する保険による対策など、さまざまな課題が明らかになったが、社会的に重要な機能の多くがITシステムに依存しており、そこに大きな脆弱性があることが改めて示されたことが最も重要な点ではないだろうか。多くの組織において、CrowdStrikeとWindowsが「単一障害点」になっており、そこが重大被害の発生点となった。簡単に回避できるものでも、予備のシステムを作ることができるものでもないが、それでもこのような事故は起こるものであり、対策が必要である。今回のインシデントで米国の3大航空会社が大きな被害を受けたことは前述したが、欠航した便数や復旧のスピードは各社まちまちで、Delta航空の欠航が最も多く、復旧が最も遅くなった[16]。これには乗務員管理システムの復旧が影響したとの見方もある[17]。Delta航空の混乱の長期化については、米国運輸省が調査を開始した[18]。Delta航空も被害者であるが、社会的責務と収益確保を考えれば、企業にとって、このような事態になっても可用性を確保することが新たな重要課題となったといえるのではないだろうか。