ニュース

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

この 2 日間で、誰もが「Microsoft ブルー スクリーン」インシデントに遭遇したはずです。

残念ながら、Shichao はその時熱心なチーム作りの真っ最中だったので、全員に温かいものを食べさせることができませんでした。

しかし、それは問題ではありません。外国メディアの同僚がさらに深く掘り下げるにつれて、この事件についての暴力的な報道が増えているため、シーチャオはこの件についてみんなで議論するのにちょうどよい時期だと感じています。

問題の原因は、CrowdStrike というネットワーク セキュリティ会社が、新しいネットワーク攻撃技術を検出した後、ソフトウェアの定期的な更新を実行したことです。

結果。 。 。このアップデートにより、同社の製品を使用しているすべてのデバイスが直接麻痺しました。

空港、銀行、金融、交通、小売、医療。 。 。あらゆる階層の人々が救われることはありません。

ドイツのベルリン・ブランデンブルク空港では、機器の故障により乗客が保安検査場に入ることができなかった。

ロンドンの駅の券売機にはブルースクリーンが表示され、チケットを購入できません。

ニューヨークのタイムズスクエアにある象徴的な看板も「ブルースクリーン時代」を歓迎しています。

常に率直な発言をしてきたマスク氏は、もちろんXに対して情熱を持っており、今回のクラウドストライクの攻撃がテスラの生産ラインに影響を与えたため、「クラウドストライクのコンピューター室を燃やす」というAIの写真まで投稿した。

「このことを引き起こしたのはあなたです、ラオ・マー！」

つまり、このブルースクリーン事件はほぼすべての業界に影響を及ぼしており、米国の専門家も「この連鎖反応を見たときは唖然とした」と述べている。

CrowdStrike がこれほど大きな問題を引き起こした理由は主に、彼らの製品が実際によく売れているためです。

市場調査会社 IDC のデータによると、CrowdStrike は端末保護ソフトウェア業界で Microsoft に次ぐ第 2 位であり、126 億米ドルの市場の 18% を占め、世界中で 29,000 の顧客を抱えているため、今回影響を受けるデバイスは数百万台に上ります。

360 Enterprise Edition（ドッグヘッド）のアメリカ版として知られるCrowdStrike。

そして、おかしなことに、今回彼らが犯した間違いは少し抽象的だったということです。

CrowdStrike 自体が明らかにした詳細とセキュリティ専門家の分析から判断すると、問題の原因は「C-00000291*.sys」という名前の非常に小さなファイルにあります。これは、CrowdStrike Falcon プラットフォーム (別名: CrowdStrike Falcon プラットフォーム) の構成ファイルです。 「チャンネルファイル」。

この特定の 291 チャネル ファイルは、Windows 上の「名前付きパイプ」実行アクションの Falcon の評価を制御する役割を果たします。

うーん。 。 。少しわかりにくいかもしれないので、簡単に言ってみましょう。

たとえば、Falcon は、Windows システム内のプログラムのさまざまなアクティビティを監視するセキュリティ システムであり、プログラムは「名前付きパイプ」と呼ばれるものを通じて情報を転送します。

では、これらの「名前付きパイプ」内のアクティビティをどのように判断して処理するのでしょうか?この 291 ファイルは、この小冊子を使用して、どのアクティビティが正常で、どのアクティビティがチェックされる必要があるかを判断できます。疑わしいので確認する必要があります; 活動は有害なので停止する必要があります。

以下のように、プロセスAとプロセスBの間の通信はパイプを介して完了します▼

しかし、CrowdStrike は、アップデートで 291 ファイルに完全に不合理なルールを挿入しました。それは、誰かを家に招待したのに、隣人のドアを開けて「お入りください、隣人:?」と言ったようなものです。 ? ?

したがって、エラー ルール 291 を実行すると、Falcon は触れるべきではない Windows システムの一部に触れ、不正なメモリ アクセスを引き起こし、最終的にはシステム全体がブルー スクリーンでクラッシュする原因となりました。

このブルー スクリーンの問題を解決するには、先祖代々のスキルを使用して「再起動」する方法はありません。代わりに、問題のある構成ファイル「C-00000291*.sys」を手動で削除して、システムがファイルを読み込んで解析できないようにする必要があります。もう一度起動時にドキュメントを作成します。

しかし重要なのは、多くのユーザーがシステム インターフェイスに入力することさえ困難であるということです。これは非常に困難です。 。 。

今回、CrowdStrike は、アップデートに不可解にも間違ったファイルを挿入することに加えて、他の多くの問題も明らかにしました。

たとえば、一部のセキュリティ専門家は、すべてのルール更新はグレースケール配布、監視、ロールバックなどの戦略に従う必要があると指摘しましたが、今回の CrowdStrike の更新は完全に自動的にプッシュされ、その後の応答はありませんでした。インシデントは、ユーザーが手動でのみ解決できます。

もう 1 つの質問は、ウイルス対策ソフトウェアには実際にそのような低レベルのアクセス許可があるのか​​ということです。

これに対し、Microsoftは飛び上がって、「セキュリティソフトへの低レベルのアクセス許可を開放するよう私に要求したのはEUだった」と以前EUに不満を述べた。

この波〜マイクロソフトは本当に純粋に面白い人だとしか言いようがない、自分とは関係ないので、以前はいつもEUから罰金を課せられていたが、今回はEUを相手にほのめかしをしてきた。

したがって、セキュリティ ソフトウェア会社がシステムの下部で何らかのトリックを慎重に行わない限り、システム全体が簡単にクラッシュし、Windows はブルー スクリーンで待機する必要があります。

もう 1 つ興味深いのは、誰かが以前にも同様のことを行っており、偶然にも、両方の事件の開始者が同じ人物、ウイルス対策ソフトウェア McAfee の元 CEO であり、CrowdStrike の現 CEO である George Kurtz (ジョージ カーツ) だったということです。

ジョージは 2 度の行動を起こし、世界中の何百万ものコンピューターを揺るがしました。これほど壮大な作戦は前例のないものです。

この時点で、このブルー スクリーン インシデントの原因と結果についてはほぼ話が終わりました。

Shichao は、この件が私たちに与える影響は比較的小さく、私たちには関係のない問題であると感じています。結局のところ、CrowdStrike は以前に中国本土への販売を禁止しており、私たちは彼らのサービスを「楽しむ」ことができません。

しかし、別の観点から見ると、この事件から得られた教訓は国内業界によって再検討され研究される価値がある。

なぜなら、CrowdStrike 事件が明らかにしたのは、システム セキュリティもデジタル インフラストラクチャの重要な部分であり、あらゆる分野の通常の運営に影響を与えるということです。私たちがデジタル大国になりたいのであれば、システム セキュリティを適切に行う必要があります。

記事を書く：クウェイ・ティオ

編集：ミロ＆ヌードル

アートエディター：シュアンシュアン

写真、ソース：

大規模なシステムクラッシュにつながった CrowdStrike の技術分析 - セキュリティ内部リファレンス

大規模な世界的IT障害の原因は何だったのか？——フィナンシャルタイムズ

CrowdStrike による世界的な IT インフラストラクチャの混乱に関する分析レポート - Qi'anxin

クラウドストライク

画像ソース ネットワークの一部