復旧は「一部で時間かかるかも」　CEOがシステム障害を陳謝

米IT企業クラウドストライクのジョージ・カーツ最高経営責任者（CEO）は19日、世界各地で生じたシステム障害に関し「深くおわびする」と陳謝した。米NBCテレビの取材に答えた。

　カーツ氏は「システムは再起動するとオンラインに戻り、動作する」と説明。一方で「自動的に回復しない一部のシステムについては、復旧に時間がかかるかもしれない」とした。

　各国の報道によると、アメリカン航空やデルタ航空など米国の大手航空会社は19日、通信障害を理由に早朝から運航を見合わせた。ドイツの空港でも航空機が一時発着できなくなったほか、トルコ航空は80便以上の運航を取りやめた。UAEのドバイ国際空港でも複数の航空会社のチェックインシステムに影響した。

　英国ではエディンバラ空港の搭乗ゲートに不具合が発生。病院では患者の情報にアクセスできず診察に影響した。

　オーストラリアでは、公共放送ABCのテレビ放送で一時映像が流せなくなった。インドやシンガポールなどのアジア諸国でもさまざまな被害が出た。

2024年7月19日に発生したWindowsサーバーの障害による影響について

引き続き、Windowsサーバーにてブルースクリーンエラーが同時多発的に発生している状況となっております。

AWSより対処方法等の更新がありました。

<対処方法>

7/19 2:35 AM PDT（日本時間 7/19 18:35）: Crowdstrike エージェント（csagent.sys）のアップデートに関連して、Windows インスタンス、Windows Workspaces、および Appstream アプリケーションの接続性の問題や再起動が発生し、Windows オペレーティングシステム内で停止エラー（BSOD）が発生する問題の解決に引き続き取り組んでいます。AWSサービスとネットワーク接続は正常に動作しています。

以前にご案内している復旧手順は実行可能な方法ですが、EC2インスタンスの再起動にて復旧が成功しているお客様もいらっしゃいます。

CrowdStrike は、セーフモードやルートボリュームの切り離しを必要とせず、再起動時に「*.sys」ファイルを置き換えるアップデートを配布されました。

AWS では影響を受けたインスタンスの復旧に取り組んでいますが、再起動することですぐに復旧する可能性があります。

詳細情報が入手可能になり次第、お知らせいたします。

（AWS Health Dashboard 原文）

July 19 2:35 AM PDT: We continue to work on resolving the connectivity issues and reboots of Windows Instances, Windows Workspaces and Appstream Applications related to a recent update to the Crowdstrike agent (csagent.sys), which is resulting in a stop error (BSOD) within the Windows operating system. AWS services and network connectivity continue to operate normally.

While the recovery steps posted below are still viable paths, some customers are seeing success with a reboot of their EC2 instance. CrowdStrike have deployed an update that will replace the "*.sys" file during a reboot with no need to Safe Mode or the detachment of the root volume.

While we work to recover affected instances, a reboot may provide immediate recovery.

We will post more information once it becomes available.

（2024年7月19日 20:00更新）

引き続き、Windowsサーバーにてブルースクリーンエラーが同時多発的に発生している状況となっております。

AWSより対処方法等の更新がありました。

<対処方法>

July 19 12:20 AM PDT（日本時間 7/19 16:20）: Crowdstrike エージェント (csagent.sys) の最近の更新に関連して Windows EC2 インスタンス、Windows Workspaces、および Appstream アプリケーションの接続の問題と再起動が発生し、 Windows オペレーティング システム内で停止エラー (BSOD) が発生するという報告を確認しています。

AWS のサービスとネットワーク接続は引き続き正常に動作します。

CrowdStrike はこの問題の回避策を提供しています。これには次の手順を実行する必要があります。

セーフ モードまたは Windows Recovery Environment で起動します。

次のディレクトリに移動します: C:\Windows\System32\drivers\CrowdStrike

ファイル「C-00000291*.sys」を見つけて削除します。

マシンを再起動します

これらの手順は AWS 以外の Windows サービスで使用できますが、CrowdStrike 問題の影響を受ける Windows EC2 インスタンスまたは Windows Workspaces には適用されません。

EC2 インスタンスの場合、現在、回復へのパスが 2 つあります。

まず 1つ目として、お客様は 9:30 PM PDT（日本時間 7/19 13:30） より前に取得されたスナップショットまたはイメージから EC2 インスタンスを再起動できます。また、CrowdStrike エージェントの問題の原因となったアップデートが自動的にアップデートされなくなっていることも確認できました。

次に 2つ目として、次の手順に従って影響を受けるインスタンス上のファイルを削除します。

Create a snapshot of the EBS root volume of the affected instance

Create a new EBS Volume from the snapshot in the same availability zone

Launch a new Windows instance in that availability zone using a different version of Windows

Attach the EBS volume from step (2) to the new Windows instance as a data volume

Navigate to \Windows\System32\drivers\CrowdStrike\ folder on the attached volume and delete "C-00000291*.sys"

Detach the EBS volume from the new Windows instance

Create a snapshot of the detached EBS volume

Replace the root volume of the original instance with the new snapshot

Start the original instance

（当社による和訳）

影響を受けるインスタンスの EBS ルート ボリュームのスナップショットを作成します

同じアベイラビリティ ゾーン内のスナップショットから新しい EBS ボリュームを作成します

異なるバージョンの Windows を使用して、そのアベイラビリティ ゾーンで新しい Windows インスタンスを起動します

手順 (2) の EBS ボリュームをデータ ボリュームとして新しい Windows インスタンスに接続します

接続されたボリュームの \Windows\System32\drivers\CrowdStrike\ フォルダーに移動し、「C-00000291*.sys」を削除します

新しい Windows インスタンスから EBS ボリュームをデタッチします

デタッチされた EBS ボリュームのスナップショットを作成します

元のインスタンスのルート ボリュームを新しいスナップショットに置き換えます

元のインスタンスを起動します

Amazon Workspaces の場合は、ワークスペースの最近のバックアップに復元することをお勧めします。

さらに詳しい情報が入手可能になり次第、本ページにてご連絡いたします。ご迷惑をお掛けし大変申し訳ございません。

（2024年7月19日 18:00更新）

現在、Windowsサーバーにてブルースクリーンエラーが同時多発的に発生している状況となっております。

AWSから以下発表があり、AWS側でも現在調査を進めている状況となっております。

CrowdStrike エージェント (csagent.sys) の最近の更新に関連しており、Windows オペレーティングシステム内で停止エラー (BSOD) が発生

EC2 インスタンスまたは Workspaces 環境で CrowdStrike を使用しているお客様は、このイベントの影響を受ける可能性があります

AWSからの報告を待ちつつ、弊社でも調査を進めておりますが、復旧まで時間を要する見込みとなっております。 状況が変わり次第お知らせいたしますので、 ご迷惑をお掛けし大変申し訳ございませんが、今しばらくお待ち下さいますようお願い申し上げます。

世界中でWindowsのブルスクが多発。原因はセキュリティソフトの更新

　Windows PCでブルースクリーンが発生したという報告がSNS等で多数報告されている。日本以外の地域でも同様の問題が発生しているようだ。

　ブルースクリーンの発生にともなって、再起動ループに陥るケースなども報告されている。弊誌においてもBitLockerや回復に関する記事のアクセスが増えており、広く影響が出ているようだ。

　原因はCrowdStrikeが提供するセキュリティソリューションに含まれる「CrowdStrike Falcon Sensor」のアップデートと見られ、CrowdStrikeでは変更を巻き戻すとともに回避策を公開。セーフモードまたはWindows回復環境で起動し、特定のファイルを削除することで通常の状態に戻せるとしている。

　ただし、セキュリティソリューションが原因であることから、影響を受けているデバイスは組織の管理下にあるものが多いと考えられる。管理者の指示に従って対応を進めてほしい。

本件はCROWDSTRIKE社から復旧手順が公開されています。

回避策の手順:

1.WindowsをセーフモードまたはWindowsリカバリー環境で起動します

2. %WINDIR%\System32\drivers\CrowdStrike ディレクトリに移動します

3.「C-00000291*.sys」に一致するファイルを見つけて削除します。

4.ホストを通常どおり起動します。

＊Bitlockerで暗号化されたホストでは回復キーが必要になる場合があります。

なお、上記手順はパソコンが起動しないシステム担当者向けであり、所属企業の情報システム部等の正式な指示を待つことを推奨します。

また、個人の判断でWindowsを初期化しCROWDSTRIKEが動作していない状態で使うことはセキュリティリスクを高めることになるのでご注意ください。

らくらくEDRプレミア（CrowdStrike）Windows版障害

らくらくEDRプレミア（CrowdStrike）をご利用いただきまして、ありがとうございます。

現在、以下の障害は解決済みです。

Windows版センサーをインストールしているマシンがブルースクリーンとなる障害が発生いたしました。（Mac版、Linux版は問題ありません）

ご利用のお客様には大変ご迷惑をおかけしておりますことを深くお詫び申し上げます。

タイトル	らくらくEDRプレミア（CrowdStrike）Windows版障害
障害日時	2024年7月19日（金）13：09 ～ 14：27
障害内容	Windows版センサーをインストールしているマシンにて、ブルースクリーンが発生することがあります。
対象	・CrowdStrike Windows版センサーをご利用中の場合 ・C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys のタイムスタンプが 13:09（UTC 4:09）の場合
原因	CrowdStrike社は、この問題に関連するコンテンツのデプロイを特定し、それらの変更を元に戻しました。 まだブルースクリーンが発生する場合は、以下の暫定対処手順により、この問題を回避できます。
復旧日時	2024年7月19日（金）14:27 C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys のタイムスタンプが 14:27（UTC 5:27）あるいはそれ以降の場合は、復旧しております。
暫定対処手順	1) WindowsをセーフモードまたはWindows回復環境で起動 a. コンピューターを再起動し、起動時にF8キーを繰り返し押す（機種によってはF2やDELキーの場合もあります） b. 「詳細ブートオプション」画面から「セーフモード」あるいは「回復環境」を選択 2) C:\Windows\System32\drivers\CrowdStrike ディレクトリに移動 3)「C-00000291*.sys」に一致するファイルを見つけて削除 4) コンピューターを再起動
暫定対処手順（パブリッククラウドの場合）	1) OSディスクボリュームをデタッチします 2) 次の手順を進める前に、スナップショットあるいはバックアップを取得します 3) ボリュームを新しい仮想サーバーにアタッチ（マウント）します 4) C:\Windows\System32\drivers\CrowdStrike ディレクトリに移動 5)「C-00000291*.sys」に一致するファイルを見つけて削除 6) ボリュームを新しい仮想サーバーからデタッチします 7) 元の仮想サーバーに、ボリュームを再アタッチします

復旧は「一部で時間かかるかも」　CEOがシステム障害を陳謝

米IT企業クラウドストライクのジョージ・カーツ最高経営責任者（CEO）は19日、世界各地で生じたシステム障害に関し「深くおわびする」と陳謝した。米NBCテレビの取材に答えた。

　カーツ氏は「システムは再起動するとオンラインに戻り、動作する」と説明。一方で「自動的に回復しない一部のシステムについては、復旧に時間がかかるかもしれない」とした。

　各国の報道によると、アメリカン航空やデルタ航空など米国の大手航空会社は19日、通信障害を理由に早朝から運航を見合わせた。ドイツの空港でも航空機が一時発着できなくなったほか、トルコ航空は80便以上の運航を取りやめた。UAEのドバイ国際空港でも複数の航空会社のチェックインシステムに影響した。

　英国ではエディンバラ空港の搭乗ゲートに不具合が発生。病院では患者の情報にアクセスできず診察に影響した。

　オーストラリアでは、公共放送ABCのテレビ放送で一時映像が流せなくなった。インドやシンガポールなどのアジア諸国でもさまざまな被害が出た。

ウィンドウズ障害、クラウドストライクＣＥＯがＸで謝罪…ＭＳのＣＥＯも「緊密に連携して復旧に取り組んでいる」

マイクロソフト（ＭＳ）のシステムで発生した世界的な障害に関し、原因になったとみられる米クラウドストライクのジョージ・カーツ最高経営責任者（ＣＥＯ）は１９日、「ご不便とご迷惑をおかけしたことをお詫びする」とＸ（旧ツイッター）に投稿した。

　障害は、クラウドストライクがＭＳの基本ソフトウェア「ウィンドウズ」向けに実施したソフトウェア更新などによって発生したとみられている。ＭＳは１９日、発生原因は修正されたと発表したが、影響は長期化する可能性が高い。

　ＭＳのサティア・ナデラＣＥＯは１９日、「クラウドストライクと緊密に連携し、お客様のシステムの復旧に取り組んでいる」とＸに投稿した。

セキュリティーソフト世界シェア１位があだ…ウィンドウズ障害、「過去最大規模」の見方も

　米マイクロソフトの基本ソフトウェア（ＯＳ）「ウィンドウズ」で１９日に発生したシステム障害は、社会システムにも影響を与えた。デジタル技術に過度に依存することの危険性を改めて浮き彫りにした。

　障害は米クラウドストライクによるセキュリティーソフトの更新作業などで生じたとされる。同社はサイバーセキュリティー分野の大手企業だ。２０１１年の創業で、米南部テキサス州オースティンに本社を置く。米ナスダック市場に上場している。

　米調査会社ＩＤＣによると、パソコンやスマートフォンなどの情報をサイバー攻撃から守る「エンドポイントセキュリティー」と呼ばれる分野で、世界トップのシェア（占有率）を持つ。２１～２２年はシェア約１８％で世界１位だった。

　「このソフトはコロナ禍で在宅勤務が広がり、セキュリティー対策の一つとして広く導入が進んだ」（ＩＴジャーナリストの三上洋氏）という。今回の障害では、そのシェアの高さがあだとなった。識者からは過去最大規模のＩＴ障害になるとの見方も出ている。

　調査会社スタットカウンターによれば、ウィンドウズは世界のパソコンの７０％に搭載。マイクロソフトのクラウドのシェアも２０％を超えており、世界の社会基盤に影響が出たのもこのためだとみられる。特定の１社に依存したシステムやセキュリティー対策はトラブルが起こると、被害が甚大になりかねない。

　企業や公共交通機関では、業務の効率化や人手不足の解消に向けて、デジタル技術やＡＩ（人工知能）の活用が広がる。精細に設計されたシステムも完璧ではない。「システムは生き物のようなもので、完成形はない。欠陥やエラーの発見と改修を繰り返すことは常識だ」（電機大手幹部）という。

国内空港も影響

　成田国際空港会社によると、成田空港では５社で欠航などの影響が出た。

　成田空港を拠点とする格安航空会社（ＬＣＣ）のジェットスター・ジャパンの出発カウンター前には、返金を求める乗客らが列を作った。夫婦で大阪に出かける予定だった千葉市の会社員の男性（２７）は「これからどうすればいいのか」と落胆していた。

　一方、羽田空港でもシステム障害が発生した。デルタ航空便で家族と米ハワイ・ホノルルに向かう予定のさいたま市の主婦（４５）は「飛ぶかどうか分からないと言われた。ホテルも予約しているし、遅れてもいいから、何とか飛んでほしい」と話した。

今回のシステム障害、補償はどうなる？…「保険上の大惨事」「経済的損害は数百億ドル」

　１９日に世界各国で発生したシステム障害は、運輸や金融など幅広い業種の企業に影響を及ぼした。業務に支障を来した企業からは、損害に対する補償を求める声も上がりそうだ。

　ロイター通信は、保険業界関係者の話として「経済的損害は数百億ドル規模に達する可能性があり、保険上の大惨事だ」と伝えた。

　国内損害保険大手の関係者は、「企業が加入する保険のプランによって補償内容が異なる。支払い規模について情報を収集中だ」と話す。また、別の損保大手は「サイバー攻撃に備えた保険では、システム障害による事業中断をカバーしていない。支払いが発生するケースは限定的だろう」との見解を示す。

　パソコンの不具合の原因となったソフトウェアを提供するクラウドストライクの日本法人は読売新聞の取材に対し、「全世界で障害対応に集中している」と説明。現段階で免責条項や法的な請求などについては回答を控えた。

　ＩＴジャーナリストの山口健太氏は「ソフトの開発者が利用者が被った損害を補償するのは現実的ではなく、免責事項を定めているケースが多い」と指摘する。補償を行う場合、「利用者が支払った料金を上限として、それ以上の責任を負わないと定めておくことが一般的」という。

大規模なブルースクリーン障害　原因の解析が進む

7月19日、世界各地のWindows PCが「ブルースクリーン」でダウンしたシステム障害が大きな話題になっています。いったい何が原因だったのか、解析が進んでいます。

ブルースクリーンの原因は？

システム障害が起きたのはCrowdStrike（クラウドストライク）による企業向けセキュリティ製品を導入しているWindows PCです。米国の公式ブログや、日本の販売代理店であるマクニカが技術的な背景を説明しています。

実際に起こった現象としては、Windowsが再起動を繰り返すというものですが、これが世界規模で同時に起きたことで多大な混乱を引き起こしています。巻き込まれた人は不運だったというしかありません。

ブルースクリーンはWindowsに昔から組み込まれているエラー画面で、システムを強制的に停止せざるを得ない致命的な状況に陥ったことを示しています。

SNSで多数報告されたブルースクリーン画面によると、障害を起こしたファイル名はCrowdStrikeによる「csagent.sys」、停止コードは「PAGE_FAULT_IN_NONPAGED_AREA」となっており、OSなどが使用する非ページ領域のメモリーへのアクセス時に問題が起きたことが読み取れます。

一般的なソフトウェアでは、メモリーに関する不具合があったとしても、プロセスを終了させることでOSや他のアプリは動作を続けられます。しかしカーネルモードで動くソフトウェアの場合、OSを巻き込んで落ちることになります。

強制終了をすると、保存していないデータが失われるなどの問題が起きる可能性はあるものの、放っておけば他のアプリが使っているメモリー領域を書き換えるなど、被害が拡大する恐れがあります。

ユーザー視点では、ブルースクリーンが出てくるとWindowsに問題が起きたように見えます。しかしWindows側からすれば、想定外の事態からユーザーを保護するために、ある意味「正しく」対処した形といえるわけです。

一方、CrowdStrikeの説明によると、今回の障害の原因は「チャネルファイル（Channel File）」にあるといいます。これはさまざまな脅威に対処するためのセンサー（Falcon）用の設定ファイルで、1日に数回アップデートとして配信されるようです。

このファイルはWindowsのシステムフォルダ内にある「drivers」の下に配置され、拡張子も「sys」となっているものの、設定ファイルであり、csagent.sysのようなカーネルモードドライバではないと説明されています。

一見すると理解に苦しむ仕様ですが、普通のソフトウェアとの違いとして考えられるのは、CrowdStrike自身も悪意のある攻撃に晒されるという点です。攻撃側の視点に立てば、チャネルファイルのような仕組みはどうにかして無力化したいはずなので、その対策をしている印象を受けます。

その中で、今回配信されたチャネルファイル「291」の内容に「ロジックエラー」が発生する問題が含まれていたことによってWindowsがクラッシュし、ブルースクリーンの表示に至ったと説明しています。

どういった経緯で内容に問題があるチャネルファイルが配信されてしまったのか、また実行時にチェックする仕組みはなかったのか、疑問は尽きないところですが、根本原因は引き続き調査中としています。

セキュリティ製品としては引き続き有効か

米ナスダックに上場しているCrowdStrikeは、コロナ禍におけるリモートワークを支えるセキュリティ製品として広く普及。6月にはS&P500指数に採用されています。

世界各国に採用が広がっていたことで多大な影響が出たといえますが、セキュリティのための製品で障害が起きるのは本末転倒であり、非難の声が高まるのは必至でしょう。

（追記：米マイクロソフトは850万台のPCが影響を受けたと推定しています）

ただ、CrowdStrikeのような製品が必要になる背景を考えれば、サイバー攻撃への対策というニーズがあることは明らかです。PCは自由度が高い反面、さまざまな攻撃も可能になることから、攻撃側を上回る強力な防御の仕組みが必要です。

たとえば今回問題となったチャネルファイルは「名前付きパイプ（Named Pipe）」の監視が目的としています。これはWindowsにおける古典的なプロセス間通信の仕組みの1つであり、そうした技術を悪用した攻撃が増えていることを示唆しています。

今回の障害の原因はすでに取り除かれ、問題となったチャネルファイルは正常に稼働しているとのこと。これまでに出ている情報を見る限りでは、ランサムウェアやマルウェア対策として引き続き有効なツールであると考えます。

CrowdStrikeのブルスク問題の影響を受けたPCは世界で850万台──Microsoft推定

　米Microsoftは7月20日（現地時間）、米CrowdStrikeのサービス更新が原因で世界同時多発的に発生したWindowsのブルースクリーン問題の影響を受けたPCが、世界で850万台と推定した。すべてのWindows端末の1％未満に当たるという。

　同社は公式ブログで、この問題はMicrosoft側のインシデントではないが、Microsoftのエコシステムに影響を与えるので、24時間体制で作業し、サポートを提供していると説明した。

　CrowdStrikeによる回避策、Windowsエンドポイントで状況を改善するための手順、手動修復ドキュメントとスクリプトなど、復旧に役立つ各種リンクも提示している。また、Azure顧客のためのインシデントの最新ステータスをダッシュボードで通知している。

　Microsoftは、米Googleや米AmazonのAWSなどの他のクラウドプロバイダーとも連携し、業界全体での認識を共有し、CrowdStrike や顧客との継続的な会話に情報を提供しているとしている。

　エンタープライズおよびOSセキュリティ担当副社長のデビッド・ウェストン氏は「この事件は、われわれの広範なエコシステムの相互関連性を実証している。また、既存のメカニズムを使って安全な展開と災害復旧を優先することが、エコシステム全体にとっていかに重要かを思い出させる」と語った。

CrowdStrike、世界規模障害にあらためて謝罪　「二度と起こらないよう対策する」

　米CrowdStrikeのジョージ・カーツCEOは7月19日（金）午後2時ごろ（現地時間）、同社のサービス更新が原因で世界同時多発的に発生したWindowsのブルースクリーン問題についてのアップデートブログを公開し、あらためて謝罪した。

　「本日の障害について、皆様に直接心よりお詫び申し上げます。CrowdStrikeの全員が、この状況の重大性と影響を理解しています。当社は問題を迅速に特定し、修正プログラムを適用し、最優先事項としてお客様のシステムの復旧に全力で取り組むことができました。」

　また、Crowdstrikeのシステムはすべて復旧し、正常に動作していること、Falconプラットフォームのシステムには影響していないことなどを説明した。

　障害自体はサイバー攻撃によるものではないが、「敵対者や悪意ある人物がこうした障害を悪用する」可能性があるため「皆様は警戒を怠らず、CrowdStrikeの公式担当者と連絡をとってください」と注意を喚起した。

　「この事件を解決するに当たり、この問題がどのように発生したかや、このようなことが二度と起こらないようにするために講じている措置について、完全な透明性を提供すると約束します」としている。

同時多発ブルースクリーン障害、国内企業の影響まとめ　USJ「1台1台手当てしているので時間がかかる」

　世界で同時多発的に発生している、Windowsのブルースクリーン障害。国内外で影響が出ており、各国の空港・航空会社でシステム障害が発生している他、イギリスではロンドン証券取引所が、米国では緊急通報サービスなどに影響。国内でも複数の企業が障害のあおりを受けている。

　これらの障害の多くは、米CrowdStrike製セキュリティソフトを導入しているPCで発生することが判明している。すでに同社から回復方法が案内されているものの、アップデートなど自動更新で解決するものではなく、Windowsシステムを直接触る必要があるため、回復までに相応の時間がかかると見込まれる。

　ブルースクリーン障害の影響を受けている1社である、ユニバーサル・スタジオ・ジャパン（大阪市）によると、午後2時ごろからパーク内店舗のPOSレジでブルースクリーンが発生。午後2時半にはレジ復旧のため全店舗の営業を終了。現在復旧作業に当たっているという。

ブルースクリーン同時多発事件、大手パブリッククラウドにも影響　CrowdStrikeが原因と明言

　7月19日午後2時半ごろにWindows PCでブルースクリーンが多発した件を巡り、大手パブリッククラウドも影響を受けていることが分かった。

　AWSでは、午後6時35分時点（日本時間）で、Windows EC2インスタンス（仮想マシン）や仮想デスクトップサービスなどに接続できない問題が発生しているという。原因は米セキュリティ企業CrowdStrikeのアップデートと明言しており、回復手段として再起動や問題を起こしているファイルを置き換える手順を案内している。AWSのサービスとネットワーク自体は正常という。

　Microsoft Azureでは、午後6時40分（同）時点で「CrowdStrike Falconエージェントを実行しているWindowsクライアントおよびWindows Serverの仮想マシンに影響する問題が確認された」という。

　Google Cloudでは午後6時17分時点で東京や大阪を含む世界中のリージョンでWindows VM（仮想マシン）に影響が出ているとアナウンス。「CrowdStrikeのcsagent.sysを使用しているVMがクラッシュし、予期しない再起動が起こる」（Google Cloud）としている。

世界規模のWindows障害が情シス的にだいぶ恐怖なワケ　ブルースクリーン多発事件

　7月19日午後2時半ごろ（日本時間）から発生している、世界規模のWindows PCの不具合。「ブルースクリーン」（BSoD、死のブルースクリーンとも）が発生し、再起動がループする状態になってしまうというものだ。原因はおよそ特定されており、回復手段も案内されているものの、この障害に遭った企業の情報システム部門はかなり頭を抱えることになりそうだ。

　というのも、Windowsの起動時の不具合を直すには、そのマシン1台1台に対して手作業で当たっていく必要があるからだ。原因の少なくとも一部と目されている製品を提供している米サイバーセキュリティ企業のCrowdStrikeが案内している回復手段は、リカバリーディスクなどを利用してWindowsをリカバリーモードで起動し、一部のファイルを削除するというもの。単純に脆弱性があるような状態であればネットワーク越しにファイルを更新したり修正したりもやりようがあるが、OS自体が正常に起動できない今回のような状態では、物理的にPCを目の前に置いて作業を進めるしかない。

　仮に1000人の従業員を抱える企業で1000台分の障害が発生したとしたら、それら全てをオフィスなどに集めて情シス部門が対処する必要がある。各社員に手順書を渡して復旧に各自努めてもらう方法も考えられるが、セキュリティやガバナンス上の問題もある上、会社PCが動かない状況では手順書を渡す手段も限られるだろう。

　オフィスに集められるならまだいいが、設置場所から動かせなければ自ら赴くしかない。ネット上で報告されているケースを見ると、自動販売機や駅構内のサイネージがブルースクリーンになった事例もあったようだ。

　取材に応じたある企業の情シス担当者は「本当に恐怖ですよ」と漏らす。この担当者が所属する企業は原因と目される製品を導入していなかったため被害を免れたものの、もし同様の事象が起きてしまったら頭を抱えるだろうという。

　「サービス導入時の安全性の評価と、導入後の定期点検をしっかりやっていたとしても、今回のケースは弾けないのではないか。追突事故のようなもので防ぎようがない」（情シス担当者）

　今回の問題は文字通り世界規模。19日には国内でもJR西日本やユニバーサル・スタジオ・ジャパン、スクウェア・エニックス、日本航空など多数の企業が影響を受けたと報告している他、国外でもロンドン証券取引所やユナイテッド航空などが問題を報告しており、関連が疑われている。

　問題の回復手段も鑑みると、復帰にはまだまだ時間がかかりそうだ。

世界規模でWindowsがブルスクに　うちのPCには影響あるの？

　7月19日午後2時半ごろから、PCがブルースクリーンで動かないとする報告が世界中で相次いでいる。「再起動が連続し、仕事にならない」とネットは大混乱だが、今使っているあなたのPCに影響はあるのか。

【画像を見る】「Reddit」のCrowdStrikeのカスタマー向けページ【全2枚】

　一般向けの報道ではWindowsそのものが原因のトラブルとするものもあるが、今回の事象は米サイバーセキュリティ企業CrowdStrikeの製品が原因とみられている。X上などで問題を報告するユーザーが投稿したPCのスクリーンには、CrowdStrike製品のドライバーである「csagent.sys」が原因と書かれており、米国の大手掲示板サイト「Reddit」などでは、CrowdStrikeのカスタマー向けのページに障害告知が上がっているとも書き込まれているためだ。

　同社は法人向けに製品を提供しているため、問題が発生しているPCは同社製品を導入している企業のPCと思われる。逆に、個人で利用しているPCに影響がある可能性は低いといえる。

　ITmedia NEWS編集部では今回の問題の原因と思われるCrowdStrikeに対して、確認の連絡を行っている。返答があり次第、追記する。

「会社のWindows PCが突如ブルースクリーンに……」　世界中で報告相次ぐ　「仕事ができない」

　ネット上で「会社のWindows PCが突如ブルースクリーンになった」とする声が7月19日午後2時半ごろから続出している。午後2時41分時点で、Xのトレンドは「ブルースクリーン」が1位になっている。

Xや、海外ユーザーの多いネット掲示板「Reddit」では「再起動を繰り返し、仕事ができない」という声も見られる。ゲームデザイナーとして知られる桜井政博さんなどもブルースクリーンが出たと報告している。

追記：ブルースクリーンの原因は？

　なお、RedditやXでは、米CrowdStrikeのEDRが原因とする声もある。ITmedia NEWSは現在同社日本法人への確認を試みている。

マクドナルドでシステム障害、全国規模で発生か　一時閉店する店舗も　SNSに投稿相次ぐ

　7月19日朝から、マクドナルドの一部店舗で一時閉店など利用できない状態が続いている。X（旧Twitter）などのSNSには「マクドナルド行ったら閉まってた」などの投稿が相次いでおり、閉店している店舗には「システムエラーのため」「機器調整のため」などの案内が掲示されているという。

　開いている店舗でも現金のみで対応しているところもあるとの投稿もあり、全ての店舗が利用できないわけではないようだ。筆者が最寄りのマクドナルド店舗を訪れると、「一時営業休止のご案内」という張り紙が掲示されており、「現在、店舗での機器調整により一時営業を制限、または停止をさせて頂いております」と利用できなかった。モバイルオーダー上では「受付停止中」と書かれた店舗が複数確認できる。

　日本マクドナルドの公式WebサイトやX公式アカウントなどでは、執筆時点でシステム障害や一時閉店に関するアナウンスはされていない。

更新（7月19日午後1時）

　日本マクドナルドは公式Webサイトにお知らせを掲載。「現在、店頭レジの不具合により一部店舗で一時営業を制限、または停止をさせていただいております。お客様にはご迷惑をおかけしまして、誠に申し訳ございませんが、復旧まで今しばらくお待ちください」と案内している。

もう笑うしかない　Windowsのブルースクリーン多発でオフィス中“真っ青”になった海外の光景がもはや楽しそう

　7月19日から発生しているWindowsの世界的なブルースクリーン多発現象で、もはや楽しそうになっている海外様子が世界中で目撃されています。右も左もブルースクリーン。

【画像】オフィス中のPCが青くなっている様子

世界中で大変な様子が目撃される

　特に人気となっているのがオフィス内のPCが全てブルースクリーンになっている様子で、もはやみんな笑ってしまっています。「どうにもなんねえやアッハッハ」みたいな感じでしょうか。

　他にもスーパーマーケットのセルフレジが全てブルースクリーンになっているところや空港のディスプレイが全てブルースクリーンになっているところ、冷蔵庫が開けられなくなっているところなど、すごい光景が世界中で目撃されています。

　なお、このブルースクリーン多発は、米国のセキュリティベンダーであるクラウドストライク（CroudStrike）のソフトウェアが原因で発生したもの。すでに原因は特定され、修正プログラムの配布など対策が実施されています。

マイクロソフトがWindowsのブルースクリーン問題にコメント、復旧方法を案内へ

米マイクロソフトは、Windows端末で発生している不具合について、サードパーティのソフトウェアプラットフォームの更新に起因した影響であることを明らかにした。間もなく復旧方法を案内できる見込みとしている。

　Windows端末については19日、突然シャットダウンする不具合がグローバルで発生し、「ブルースクリーンになる」という声が相次いでいた。

　クラウドストライク（CrowdStrike）のジョージ・カーツCEOのコメントによれば、現在は修正プログラムが展開されているという。

クラウドストライクが「Windowsブルスク化」システム障害の解析結果を発表

　セキュリティソフトを手掛ける米クラウドストライク（CrowdStrike）は、同社ソフト導入済みのWindowsパソコンで、19日にシステム障害が発生した原因を発表した。同社Webサイトのブログで公開されたもの。

■ 原因は設定ファイルの不具合、「サイバー攻撃ではない」

　Windowsのシステムダウンを招いたのは、クラウドストライクのソフトウェア「ファルコン（Falcon）」のアップデート。センサー設定を更新する内容で、19日13時9分（日本時間）にリリースされた。

　しかし、システムクラッシュの原因になるとのことで、配信から約1時間半後、19日14時27分（日本時間）にセンサー設定の更新は修正された。

　あくまで設定ファイルの不具合によるもので、同社では「サイバー攻撃ではない」と解説する。

　影響を受ける可能性があったのは、19日13時9分～14時27分にオンラインだった、「ファルコンセンサー for Windows 7.11」以上が稼働しているWindowsパソコン。

■ 設定ファイルは「ドライバーではない」

　配信された設定ファイルは、「チャネルファイル」と呼ばれるとのことで、「ファルコン」のメカニズムのひとつ。クラウドストライクが発見した、セキュリティへの脅威となる戦術・技術・手法に対応すべく、1日に数回、チャネルファイルは更新される。

　Windowsのシステム障害の原因となったチャネルファイルの名前は「C-00000291-」から始まり、拡張子は「.sys」。

　「.sys」という拡張子は、Windowsのシステム設定ファイルに用いられるものだが、クラウドストライクは「カーネルドライバーではない」と説明。今回のアップデートでは、新たに見つかったサイバー攻撃の手法へ対処するためのものでありながら、Windowsがクラッシュしてブルースクリーンになる不具合（ロジックエラー）が含まれていた。なおファイルに含まれるnull bytes（ヌル文字）は今回のエラーと関わりはないとのこと。

■ CEOからのコメント

　クラウドストライクCEOのジョージ・カーツ氏は、「深くお詫びする」と謝罪。原因が「ファルコン」のアップデートにあり、修正プログラムが展開されていることなどに触れている。さらに顧客へのサポートに注力する方針も示されている。

　このほか、米マイクロソフトCEOのサティア・ナデラ氏は、Xの公式アカウントで「クラウドストライクのアップデートがグローバルに影響を与えたこと」「マイクロソフトが問題を把握してクラウドストライクを含む業界全体と連携しサポートや技術ガイダンスを提供している」とのコメントを投稿した。

マスク氏、システムからクラウドストライクを削除－障害発生後

米テスラのイーロン・マスク最高経営責任者（ＣＥＯ）は、米サイバーセキュリティー会社クラウドストライク・ホールディングスのソフトウエアの使用を停止したと明らかにした。同社のソフトウエア更新で不具合が発生し、19日に世界各地のコンピューターが機能不全に陥った。

マスク氏はソーシャルメディアのＸ（旧ツイッター）に、「われわれは、全てのシステムからクラウドストライクを削除したところだ」と投稿した。その前には、今回のシステム障害が「自動車のサプライチェーンに発作をもたらした」と述べていた。

マスク氏は、自身が経営する企業全てでクラウドストライクのソフトウエアを削除したかどうかについては明言しなかった。マスク氏のビジネス帝国にはテスラとＸのほか、スペース・エクスプロレーション・テクノロジーズ（スペースＸ）、ニューラリンク、ｘＡＩなどが含まれる。マスク氏にはコメントを求めて連絡を取ったが、これまで返答は得られていない。

「入社初日にブルースクリーン大規模障害起こして解雇された」投稿拡散も……実はフェイクニュース専門家のジョーク

　「Crowdstrike勤務初日にミスをして解雇された」として、7月19日に発生したWindowsの大規模障害を引き起こした人物を名乗る投稿がX（Twitter）で広く拡散しています。実際はフェイクニュースやSNSの専門家による“ネタ”でした。

　投稿は、Crowdstrikeのオフィスらしき建物で、Vサインをした男性の写真に「Crowdstrike初日。ちょっとしたアップデートを配信して昼休憩」という文章が添えられていました。それに「解雇された。不当だ」という投稿が続き、男性が「解雇の書類を待っている」などと語る動画も投稿されています。

　あたかも入社したばかりの人のミスで大規模障害が起きたかのような投稿は、3700万回以上閲覧され、3万回以上リポストされ、約38万件のいいねを集めました。投稿を信じた人がいた一方、画像は合成だと指摘する声もありました。手が子どものように小さく、また頭部も不自然に見えます。

　この投稿は真実ではなく、投稿したヴィンセント・フリバスティアさんはジョークであり、生成AIを使用した画像であることを明かしています。動画もAIを使って翻訳したとのこと。

　フリバスティアさんは、フェイクニュースやSNSを専門とする、デジタルシチズンシップ（デジタル技術を活用して社会に参加する能力）の講師。多くの人が“釣られた”今回の投稿について、拡散した要因を「まだ犯人が名指しされていないときに、犯人を差し出した。人々は犯人を求める」「人々が新しい情報を必要とする大きな話題だった。フェイクはそもそも新しく、ほかのどこでも読めない」「英語の投稿は、世界中に、私が誰か知らない多数の人に非常にシェアされやすい」など挙げています。

　フリバスティアさんは、投稿を真に受けた小規模メディアもあり、ジャーナリスト、コンピュータサイエンスやサイバーセキュリティの専門家も投稿をシェアしたことを「ショッキングだった」と語っています。「私たちが何かを信じたいとき、クリティカルシンキングは消える」と戒めています。