CrowdStrikeアップデート？

2024年7月19日、多くの環境で使用されているCrowdStrikeの更新プログラムがリリースされました。
これは更新するためのものとして正規にリリースされたものでしたが、残念なことにこの更新には修正だけでなくバグも含まれてしまっていました。
これが大きな問題につながりました。

• 多くの重要システムに影響
  大きくニュースになっていたので目にされた方も多いことと思います。
  多くの国や地域で問題が発生しました。
  病院が通常運営できない状態になり、飛行機が飛べない事態が発生しました。
• もともとは関係なかった2つの問題
  ほぼタイミングを同じくして2つの修正プログラムがリリースされました。
  マイクロソフトの修正プログラムとCrowdStrikeの修正プログラムでした。
  この2つのリリースのタイミングがほぼ同じであったこともこの大きな混乱の原因だったようです。
  2つの修正のリリースには直接的な関係はなかったようなのですが、どちらもWindowsのカーネルのドライバーの更新に関連するものでした。
• 回避策
  問題には根本対応が必要なのですが、影響が大きな問題となってしまったため、回避策もアナウンスされています。
  しかしその回避策の実施も容易ではありません。
  セーフモードで起動して特定のファイルを削除してから再起動する必要があるのです。
  セーフモードではネットワークが利用できない状態になりますので、この対応を実施する場合、機器のある現地で対応する必要があることになります。
  これは大変な手間を要する活動となります。

このような事象があり、緊急対応が多くの場所で実施されています。
脅威アクターはこの大きな混乱を見逃しませんでした。
大きな混乱の中、CrowdStrikeの修正を装い、フィッシングメールが大量に送信されています。

• HijackLoader
  HijackLoaderはマルウェアローダーです。
  今回の混乱に乗じ、フィッシングメールを経由してHijackLoaderを送り込み、これによりRemcosリモートアクセスツールをターゲット環境に設置します。
  被害者を騙してマルウェアをインストールさせるために、脅威アクターは、HijackLoaderペイロードをCrowdStrikeからの修正プログラムの配信のように見せかけたWinRARアーカイブを送り付けました。
• ワイパー
  ワイパーはファイル破壊を行うマルウェアです。
  HijackLoaderと同じようにCrowdStrikeからの修正プログラムを装ってファイルが送り込まれます。
  このファイルを実行するとシステム上のファイルはゼロで上書きされ破壊されます。

7月19日の混乱は回避することが難しいものだったと思われます。
しかしその後の更新を装ったマルウェア配布については、被害にあわないようにすることができそうな事象だったと思われます。
正式な更新は正規のサイトで提供されています。
入手経路に注意すれば、セキュリティ更新プログラムのインストールを怖がる必要はありません。
私たちにできるのは、タイムリーなパッチ適用、良好なパッチケイデンスの維持、です。

ANY.RUN – When seeking a fix users affected by the #outage can destroy their entire system.
https://x.com/anyrun_app/status/1814658084460957890