** 本記事は、CrowdStrike global outage: Sophos guidance の翻訳です。最新の情報は英語記事をご覧ください。**
2024年 7月 19日、CrowdStrike 社が Windows デバイス上で CrowdStrike Falcon のエンドポイントエージェントを実行している顧客に対して「コンテンツアップデート」を展開したところ、旅行、銀行、医療、小売を含む世界中のさまざまな業界に混乱が生じました。
攻撃者たちは一般的に、大規模な混乱やインシデントに乗じて被害者を攻撃します。本記事では、今回のインシデントに対するソフォスの見解を明らかにし、ソフォスのお客様やパートナーから寄せられた重要な質問にお答えします。
ソフォスと競合他社を含め、サイバーセキュリティ分野のすべての企業が目標としているのは、企業・組織の安全を確保し、攻撃者から守ることです。商業的な舞台では競い合っていますが、私たちにとって何よりも重要なのは、共通の敵であるサイバー犯罪者に対抗するために団結したコミュニティであるということです。私たちは今回、同業者としての支援を CrowdStrike に届けるとともに、影響を受けたすべての組織が一刻も早く復旧し、平常に戻ることを祈ります。
サイバーセキュリティは非常に複雑で、その環境は急速に進化しています。ソフォスのCEO であるジョー・レヴィは、LinkedIn で次のように述べています。「カーネルに直接関与している者であれば、一度や二度はサイバーセキュリティの脅威を身をもって感じたことがあるはずです。そして、どのような予防策を講じたとしても、100% 免れることはできません。」
問題の概要
- 今回の出来事は CrowdStrike で起きたセキュリティインシデントやサイバー攻撃でもありません。
- セキュリティインシデントの結果ではありませんが、サイバーセキュリティは機密性、完全性、可用性で構成されるものです。可用性が影響を受けたことは明らかであるため、これはサイバーセキュリティ対策として失敗であると断定できます。
- Windows マシンでブルースクリーンを発生させたこの問題は、CrowdStrike の顧客に配布された製品の「コンテンツ」アップデートが原因でした。
- Windows コンピューターおよびサーバー上で CrowdStrike Falcon エージェントを実行している組織が影響を受けた可能性があります。Linux と macOS のデバイスは、このインシデントの影響はありません。
- CrowdStrike は、この問題に関連する展開されたコンテンツを特定し、変更部分を元に戻しました。CrowdStrike の顧客には、すでに修正ガイダンスが発行されています。
「コンテンツ」アップデートについて
今回のアップデートは、CrowdStrike のエンドポイントセキュリティソフトウェアに対する典型的な製品の「コンテンツ」アップデートであり、多くのソフトウェアプロバイダー (Sophos を含む) が定期的に行う必要があるタイプのものでした。
「保護アップデート」とも呼ばれるコンテンツアップデートは、エンドポイントセキュリティ製品の保護ロジックと最新の脅威を検出する能力を向上させます。ところが今回、CrowdStrike が配信したコンテンツアップデートが予期せぬ重大な結果をもたらしました。しかし、どのソフトウェアプロバイダーも完全無欠ではなく、このような問題は、業種に関係なく他のベンダーにも影響を与える可能性があります (そして、実際に影響が及んでいます)。
CrowdStrike の対応
CrowdStrike は自社のサイト上で声明を発表し、顧客向けの修正ガイダンスを公開しています。この問題の影響を受けた場合や CrowdStrike をご利用のお客様からお問い合わせを受けた場合には、以下の CrowdStrike 公式ページを参照してください。
https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/
これまでどおり、警戒が極めて重要です。サイバー犯罪者は、潜在的に悪意のあるドメインを登録し (タイポスクワッティング)、「CrowdStrike remediation (CrowdStrike の問題の修正)」に乗じたフィッシングキャンペーンを実行して、被害者の弱みにつけ込もうとしています。CrowdStrike に連絡する場合、または CrowdStrike から連絡を受けた場合は、正規の担当者と話していることを確認してください。
ソフォスのお客様は CrowdStrike の影響を受けましたか?
Sophos XDR または Sophos MDR と併せて Sophos Endpoint を使用しているお客様を含め、エンドポイント保護に Sophos を使用しているお客様は影響を受けませんでした。しかしながら、Sophos XDR と Sophos MDR で利用可能なソフォスの「XDR Sensor」エージェントを CrowdStrike Falcon のオーバーレイとして使用している少数のお客様は、影響を受けた可能性があります。
同様のサービスが停止するリスクを低減するために、ソフォスはどのような対策を行っていますか?
Sophos Endpoint を含め、すべてのエンドポイント保護製品は、定期的な製品アップデートを提供し、保護機能 (コンテンツ) のアップデートを継続的に公開しています。脅威は急速に変化するため、進化し続ける脅威に対応するためには、タイムリーな保護ロジックのアップデートが不可欠です。
ソフォスは、30年以上にわたり業界をリードするエンドポイント保護ソリューションを提供し、ソフォスそして業界がこれまでに対応したインシデントから多くの教訓を得てきました。この経験と知見に基づき、お客様の障害発生リスクを軽減するための強固なプロセスと手順を確立しています。しかし、そのリスクがゼロになることはありません。
ソフォスのすべての製品アップデートは、本番環境にリリースされる前に、社内の専用の品質保証環境でテストされます。本番稼動後、製品アップデートは社内でリリースされ、全世界のソフォスの従業員とソフォスのインフラストラクチャに提供されます。
すべての社内テストが完了し、アップデートが品質基準を満たしていることが確認された後、段階的にお客様にリリースされます。リリースはゆっくりと開始され、速度を上げながら、顧客ごとに時間をずらして行われます。テレメトリはリアルタイムで収集され、分析されます。アップデートに問題が発生した場合でも、影響を受けるシステムはごく少数であり、ソフォスが極めて迅速にロールバックすることができます。
お客様は、アップデート管理ポリシーの設定を通じて、Sophos Endpoint 製品アップデート (保護アップデートではない) を制御できます。ソフトウェアパッケージのオプションには、Recommended (ソフォスが管理)、固定期間のサポート、長期サポートがあり、アップデートを実行する日時を設定することができます。
製品アップデートと同様に、Sophos Endpoint のすべてのコンテンツアップデートは、本番リリース前にソフォスの品質保証環境でテストされ、すべてのリリースがソフォスの品質基準を満たしていることを確認します。お客様へのコンテンツリリースは、継続的な QA 管理の一環として段階的に行われ、必要に応じてテレメトリに基づいたリリースの監視と調整が行われます。
ソフォスは、ソフォスのソリューションが安全かつ効率的に構築されるよう、セキュアな開発ライフサイクルに従っています (詳細は Sophos Trust Center をご確認ください)。Sophos Endpoint のリリースと開発の原則に関する詳細は、ソフォスのナレッジベースでご覧いただけます。