7月19日、世界中でWindowsシステムが突如ダウンし、ブルースクリーンが表示されて起動不能になるという深刻な問題が発生しました。この事態は当初、Microsoft365やAzureの異常な動作として認識されましたが、やがて広範囲のWindows業務端末に影響が及びました。その結果、テレビ局の放送中断、病院の診療停止、さらにはアメリカの緊急通報システム911（日本の110番や119番に相当）の機能不全など、社会インフラに大きな混乱をもたらしました。

この大規模な障害の原因は、クラウドストライク社が提供するFalconプラットフォームのソフトウェアバグであることが判明しました。マイクロソフト社の発表によると、推定約850万台の端末が影響を受けたとされています。7月22日現在、マイクロソフト社から復旧ツールが提供されていますが、同時に「復旧ツール」を装ったマルウェアの出現も報告されており、新たな脅威となっています。

クラウドストライク社は、EDR（Endpoint Detection and Response）と呼ばれるセキュリティソリューションを提供する開発ベンダーです。EDRの主な目的は、ランサムウェアや標的型攻撃などの高度なサイバー脅威を端末レベルで検出することです。従来のウイルスチェッカーがファイルのシグネチャーに基づいてマルウェアを判定するのに対し、EDRはより包括的なアプローチを取ります。具体的には、ファイルやプロセスの動作、レジストリの変更、ネットワーク通信など、端末から収集した多様な情報を分析し、異常な挙動からマルウェア感染や不正侵入を検知します。

このような高度な監視と保護を行うため、EDRソフトウェアには通常、システム上の高い権限が付与されます。しかし、今回の事例が示すように、EDR自体に問題が生じた場合、その高い権限が逆効果となる可能性があります。システム管理者にとって、これは非常に深刻な課題です。導入前の慎重な検討や導入後の定期的な点検を行っていたとしても、このような事態を完全に回避するのは困難だったと考えられます。また、セキュリティソフトの構成を変更して冗長性を持たせるという対策も、現実的には実施が難しいでしょう。

また業務PCのみならず、広告サイネージや自動販売機などでもブルースクリーンが出ており、復旧には現地に向かって1台ずつ対応が必要になってきます。

先日のランサムウェアによる大事故の件も踏まえて、何らかのセキュリティーツールを導入は必須に近い昨今ですが、今回のような、雇ったガードマンに撃たれたような皮肉な事案が発生すると、BCPも再検討が必要になってきます。
世界的な大事故になったのは、どこもセキュリティーツール自体がリスクと想定していなかった裏返しであるわけで、今後、ますますセキュリティー対応の設計が難しくなります。「これさえ入れておけば大丈夫」というセキュリティーソリューションは存在しない以上、妥協するポイントの線引きがカギになりそうです。