【解決策あり】Windowsでブルスクなど大規模障害が発生中　CrowdStrikeが原因か？

投稿日： 2024年07月19日 15:38 更新日： 2024年07月19日 23:41

2024年7月19日ごろから、世界中のWindows PCでブルースクリーン（「BSoD」や「ブルスク」とも呼ばれる）やブートループといった深刻な問題が報告されています。突然PCが動かなくなり、再起動を繰り返したり、全画面で青いエラーメッセージが表示されたりします。

この問題の原因はCrowdStrikeのセキュリティ製品の最新アップデートにあるとみられており、企業を含む多くのWindowsユーザーに大きな影響を与えています。

問題の詳細

2024年7月19日から、世界中のWindows PCユーザーがブルースクリーンエラーやブートループの症状に悩まされていると報告されています。

ブルースクリーンは、Windowsの実行中に深刻なエラーが発生した際に表示される、青い全画面のエラーメッセージです。また、ブートループは、パソコンの起動途中で無限に再起動を繰り返す状況を指します。

ブルースクリーン状態のPCの写真 — Windowsのブルースクリーン（2022年に筆者撮影）

Reddit（海外の掲示板）の関連するスレッドでは、多くのユーザーが同様の問題を報告しており、とくに企業のユーザーに大きな影響を与えているようです。このスレッドでは、全社的な障害にみまわれているという声も複数あり、その影響の大きさがうかがえます。

AWSやAzure、GCPにも影響（7月19日18:10追記）

今回の問題は、AmazonのAWSやMicrosoftのAzure、Google Cloud Platform（GCP）の一部の環境にも影響を及ぼしています。

Azureのステータスページには、次のような情報が掲載されています。

Awareness - Virtual Machines

We have been made aware of an issue impacting Virtual Machines running Windows, running the CrowdStrike Falcon agent, which may encounter a bug check (BSOD) and get stuck in a restarting state.We are aware of this issue and are currently investigating potential options Azure customers can take for mitigation.

This message was last updated at 08:46 UTC on 19 July 2024

—— Azure status

AWSのステータスページにも同様の情報が掲載されています。

Connectivity Issues

July 19 12:20 AM PDT: We can confirm reports of connectivity issues and reboots of Windows Instances, Windows Workspaces and Appstream Applications related to a recent update to the Crowdstrike agent (csagent.sys), which is resulting in a stop error (BSOD) within the Windows operating system. AWS services and network connectivity continue to operate normally.

—— Service health - Jul 19, 2024 | AWS Health Dashboard | Global

GCPのステータスペースにも、Windowsの仮想マシンが影響を受けていることが記載されています。

Incident affecting Google Compute Engine

Windows VMs using Crowdstrike’s csagent.sys are crashing and going into unexpected reboot

Incident began at 2024-07-18 23:48 (all times are US/Pacific).

—— Google Cloud Service Health

なお、いずれもWindowsの仮想マシンやインスタンスにCrowdStrike Falconエージェントがインストールされている場合に問題が発生するとしています。

原因

これらの問題は、CrowdStrikeのセキュリティ製品の最新アップデートが原因とみられています。csagent.sysの失敗が直接的な原因のようです。

csagent.sysはCrowdStrikeのFalcon Sensorに関連するドライバーで、セキュリティ関連の機能を提供するために使用されています。

しかし、最新のアップデートによってこのファイルが正常に機能しなくなり、結果としてシステム全体が不安定になっているようです。

CrowdStrikeの声明

今回の大規模障害の原因とみられるCrowdStrikeは、同社のFalcon Sensorに関連するブルースクリーンの問題を認識しており、解決に向けて対応中であることを発表しています。

7月19日23:40追記：CrowdStrikeは次のような公式声明を発表しました。

CrowdStrike is actively working with customers impacted by a defect found in a single content update for Windows hosts. Mac and Linux hosts are not impacted. This is not a security incident or cyberattack.

The issue has been identified, isolated and a fix has been deployed. We refer customers to the support portal for the latest updates and will continue to provide complete and continuous updates on our website.

We further recommend organizations ensure they’re communicating with CrowdStrike representatives through official channels.

Our team is fully mobilized to ensure the security and stability of CrowdStrike customers.

—— Statement on Falcon Content Update for Windows Hosts - crowdstrike.com

筆者による日本語訳：

CrowdStrike は、Windows ホストの 1 つのコンテンツ更新で見つかった欠陥の影響を受ける顧客と積極的に協力しています。 Mac および Linux ホストは影響を受けません。これはセキュリティインシデントやサイバー攻撃ではありません。

問題は特定され、隔離され、修正が展開されました。最新のアップデートについてはサポートポータルをお客様にご案内し、引き続き Web サイトで完全かつ継続的なアップデートを提供していきます。

さらに、組織には公式チャネルを通じて CrowdStrike の担当者と確実に連絡を取ることをお勧めします。

私たちのチームは、CrowdStrike の顧客のセキュリティと安定性を確保するために総動員されています。

どのユーザーが影響を受けるか（7月19日18:10追記）

今回の大規模障害は、CrowdStrike Falconを使用しているWindows PCに影響を与える可能性があります。このソフトを導入していない場合は、今回の問題の影響を受けません。

CrowdStrike Falconは企業のセキュリティ対策として導入されることが多いため、個人のユーザーは基本的に影響を受けないと考えられます。

回避策（7月19日16:10追記）

CrowdStrikeは、今回の問題の解決策を公開しました。問題となっているアップデートの展開を取り消したとのことです。

すでに影響を受けている場合は、次の手順で回避できるとしています。

Boot Windows into Safe Mode or the Windows Recovery Environment

Navigate to the C:\Windows\System32\drivers\CrowdStrike directory

Locate the file matching “C-00000291*.sys”, and delete it.

Boot the host normally.

筆者による意訳：

Windowsをセーフモードかリカバリー環境で起動します
C:\Windows\System32\drivers\CrowdStrikeディレクトリーを開きます
C-00000291*.sysに一致するファイルを探し、削除します
Windowsを通常通りに起動します

まとめ

2024年7月19日から、Windows PCで大規模な障害が発生しています。CrowdStrikeの最新アップデートが原因とみられており、多くのユーザーがブルースクリーンやブートループの問題に悩まされています。CrowdStrikeは問題を認識しており、解決に向けて対応中です。

更新履歴

7月19日16時10分：回避策が公開されたため記事を更新しました
7月19日18時10分：AWSやAzure、GCPにも影響が及んでいることを追記しました。また、影響を受けるユーザーについての情報を追加しました
7月19日23時40分：CrowdStrikeの声明を追記しました

ろぼいん

Twitter Misskey GitHub Qiita

生まれた時から、母国語よりも先にJavaScriptを使っていました。ネットの海のどこにもいなくてどこにでもいます。

Webフロントエンドプログラマーで、テクノロジーに関する話題を追いかけています。動画編集やプログラミングが趣味で、たまにデザインなどもやっています。主にTypeScriptを使用したWebフロントエンド開発を専門とし、便利で実用的なブラウザー拡張機能を作成しています。また、個人ブログを通じて、IT関連のニュースやハウツー、技術的なプログラミング情報を発信しています。