繰り返された失敗。Svchost.exeとかカーネル空間とか
今日の我々は過去の我々ではないのである。したがって過去における失敗をふたたびするはずはないのである。
石川啄木はこう言うが、残念ながら失敗は繰り返されるのだ。
クラウドストライクが引き起こしたトラブルについて、これまでに2つの記事を書いた。
この件については終わりにしようかと思っていたが、興味深い記事を見つけたので、記録しておきたいと思う。
CrowdStrikeが、「Falcon Sensor」ソフトウェアを実行する世界中の多数のPCに、欠陥のある「センサー設定の更新」を配信した。(中略)
更新ファイルには.sys拡張子が付いていたが、それ自体はカーネルドライバーではなかった。このファイルと通信するFalconセンサーの他のコンポーネントが、Windows PCで最高の特権レベルであるWindowsカーネルと同じ空間で実行され、メモリーやハードウェアと直接やりとりする。
CrowdStrikeは、そのコードの「ロジックエラー」が原因で、Windows PCおよびサーバーが起動後数秒以内にクラッシュし、STOPエラーが表示されると説明した。STOPエラーは、「死のブルースクリーン」(Blue Screen of Death:BSOD)という通称の方が知られているだろう。
カーネル空間。懐かしい響きだ(ケンタッキー・フライド・チキンのカーネル・サンダースではない)。
これはアーキテクチャーの問題だ。Windows向けのシステムレベルアプリ(セキュリティソフトウェアなど)の開発者は、以前からカーネル拡張機能とドライバーを使用して機能を実装している。今回の例が示すように、カーネル空間で実行される欠陥コードは修復不能なクラッシュを引き起こす可能性があるが、ユーザー空間で実行されるコードの場合は起こり得ない。
以前は「macOS」も同じだったが、2020年の「macOS Big Sur」で、Appleは自社の旗艦OSのアーキテクチャーを変更し、カーネル拡張機能を使用しないよう強く勧告した。開発者が作成を奨励されているのは、カーネルレベルではなくユーザー空間で実行されるシステム拡張機能だ。CrowdStrikeはmacOSでAppleの「Endpoint Security Framework」を使用している。同社によると、その設計を使用することで、「Falconはユーザー空間のセンサーだけを用いて、同じレベルの可視性、検知、保護を達成できる」という。
MacのPCでなぜ、今回のようなトラブルが起きないかの理由がよくわかる。
そして、今回のトラブルに関わった主要な人物は、今から14年前にも別のウィルス対策ソフトで大規模なトラブルを引き起こしたという。
2010年4月21日、McAfeeは欠陥のあるウイルス定義(DAT)ファイルをWindows XP搭載PCに配信した。そのファイルは、Windowsの重要なシステムファイルであるSvchost.exeを誤ってウイルスとして検出し、削除した。当時のレポートによると、その結果、「影響を受けたシステムは再起動ループに入り、すべてのネットワークアクセスが(失われる)」という。
2010年のインシデントと2024年のCrowdStrikeの障害には、不思議な類似点がある。問題の根底にアップデートの欠陥があり、それが強力なソフトウェアエージェントを実行する多数のPCに配信され、影響を受けたデバイスが動かなくなった。回復のために、すべてのデバイスを手動で操作する必要があった。さらに、欠陥コードを配信したのは、競争が過酷な市場で必死に成長しようとしている上場セキュリティ企業だった。
信じがたいことに、CrowdStrikeの創設者で最高経営責任者(CEO)のGeorge Kurtz氏は、2010年のインシデント時にMcAfeeの最高技術責任者(CTO)だった。
タイトル写真は、「ウィンドウズPCで「ブルースクリーン」障害多発、世界規模か」から引用
Repeated failures. I Reminisce on the terms like svchost.exe and kernel space.
We are not who we were in the past, and therefore we cannot repeat the mistakes of the past.
Ishikawa Takuboku said this, but unfortunately, failures are being repeated.
I have written two articles so far about the troubles caused by CrowdStrike.
I was thinking of leaving this topic alone, but I came across an interesting article that I wanted to record.
Kernel space. Sounds familiar (not Colonel Sanders of KFC).
It's easy to understand why problems like this don't occur on Mac PCs.
And it turns out that the main people involved in this problem also caused a major problem 14 years ago with a different antivirus software.
The title photo taken from "Multiple "blue screen" issues on Windows PCs, worldwide?"