CrowdStrike Falcon 障害 ── 史上最大の IT 障害

2024年7月19日、 サイバーセキュリティ企業 CrowdStrike が配信した Falcon Sensor の更新ファイル（Channel File 291） の不具合により、 世界中の 約850万台の Windows 端末 が同時にブルースクリーン（BSOD） に陥った。 推定経済損失は 100億ドル超 とされ、 単一の IT 障害として史上最大規模の事件となった。

何が起きたか

午前4時09分（UTC）、 CrowdStrike は Falcon Sensor 向けに Channel File 291 と呼ばれる コンテンツ構成ファイル を配信した。 これは脅威検知ロジックを更新する小さなデータファイルで、 顧客の検証フェーズを経ずに本番環境に直接プッシュされる運用だった。

ファイルには 配列範囲外読み取り を引き起こすデータが含まれていた。 Falcon Sensor の核心はカーネル空間で動作するドライバ（csagent.sys） であり、 そこで未処理例外が発生すれば Windows は自動的に停止する。 結果、 ファイルを受け取った Windows 端末は順次 BSOD に入り、 再起動しても起動時にまた同じファイルを読み込んで再びクラッシュする ブートループ に閉じ込められた。

復旧手順は単純だが手動だった ── セーフモードで起動し、 問題のファイルを削除し、 通常起動に戻す。 BitLocker による暗号化済みドライブ環境では回復キーが必要となり、 大企業ではこの手作業を数千〜数万台に対して並列実行する必要があった。

同時に倒れたもの

午前6時 UTC を超えた頃には、 世界中のあらゆる重要システムが同時に止まり始めた。

• 航空: Delta、 United、 American の各社が運航停止。 Delta 単独で 約7,000便を欠航
• 医療: 米英の病院で電子カルテ・予約・検査機器が停止、 一部で手術延期
• 金融: ATM、 銀行支店端末、 一部の証券取引画面が停止
• 緊急通報: 米国のいくつかの州で 911 システムが断続的に不通
• 小売: POS、 在庫管理、 オンライン決済
• 放送: スカイニュース、 ABC（豪州）など複数局が放送中断

復旧には組織によって数日から数週間を要した。 リモートワーク端末や、 物理アクセスが必要な店舗端末では特に長引いた。

Delta 訴訟と「カーネル特権」論争

最大の法廷闘争は Delta Air Lines から始まった。 Delta は同社単独で 約5億ドル超 の損失を主張し、 2024年10月に CrowdStrike と Microsoft を提訴。 訴状の核心は技術的告発だった ── CrowdStrike は「Microsoft OS 内に許可されていない裏口を作り出し、 そこから Windows カーネルへ更新を強制プッシュしていた」、 これはジョージア州コンピュータ犯罪法に違反する、 という主張である。

CrowdStrike は反訴で「Delta は自社の IT 運用と障害復旧能力の欠陥を、 訴訟を煙幕にして隠そうとしている」と応酬した。 同時に、 株主代表訴訟・連邦証券法違反のクラスアクションも複数提起された。

この訴訟が露わにしたのは、 エンドポイントセキュリティ製品が持つ「カーネル特権」の政治性 である。 EDR（Endpoint Detection and Response） 製品は脅威を検知するために OS カーネルで動作する必要があり、 そこにバグがあれば即座に OS 全体を倒す。 「セキュリティのために脆弱性を増やしているのではないか」という根本問題が、 ようやく公の議論の俎上に載った。

Microsoft の対応 ── Windows Endpoint Security Summit

2024年9月10日、 Microsoft はワシントン本社で Windows Endpoint Security Ecosystem Summit を開催した。 CrowdStrike を含む主要 EDR ベンダー、 政府代表が招かれ、 議題はただひとつ ── 「同じことを二度と起こさないために、 Windows のセキュリティ製品アーキテクチャをどう変えるか」だった。

Microsoft 副社長 David Weston が示した方向性は明確だった ── 「カーネル外で動作する新しいプラットフォーム機能」 を Windows に追加する。 言い換えれば、 EDR 製品はもはやカーネル空間に駐留せずに済むようにする、 という方針表明である。 完全な「カーネル禁止」ではないが、 ベンダー側に「カーネルに居座る必然性を捨てる選択肢」を与える設計変更だった。

なぜ Microsoft はそもそも EDR にカーネル特権を与えていたのか ── ここで2009年の EU 独占禁止命令 が文脈に入ってくる。 当時 EU は Microsoft 自身のセキュリティ製品（Windows Defender） がサードパーティの参入を阻むことを問題視し、 Microsoft に対し 自社製品と同等のカーネルアクセスをサードパーティにも開放する ことを要求した。 2024年の論調では「EU が CrowdStrike にカーネルの鍵を渡した」（The Register） という痛烈な見出しが躍り、 規制の意図せざる帰結という古典的構造が浮上した。

CrowdStrike の株価と業績

7月19日 の取引で CrowdStrike 株は -11%、 障害発生後の18日間で累計 約-45% 下落した。 同社は損害賠償・顧客慰留のため Customer Commitment Packages（CCP） という割引プログラムを導入し、 結果として2024年下半期 〜 2025年の四半期売上に各四半期 約1,100万ドル のマイナス影響を与え続けた。 CCP プログラムは2025年に終了したが、 影響は2026年にまで尾を引いている。

それでも CrowdStrike は倒れなかった。 EDR 市場の代替候補は限られ、 リプレイス工数は巨大で、 顧客の多くは契約を維持した。 株価は1年半をかけてゆるやかに回復した。 業界が示したのは、 寡占化したセキュリティスタックの 「乗り換えにくさ」 という別種のリスクだった。

何が示されたか

CrowdStrike 障害は3つの教訓を残した。

1. ソフトウェアサプライチェーンとしての SaaS セキュリティ: 検証を経ない自動更新は、 サプライチェーン攻撃と区別がつかない事故を起こせる。 段階的ロールアウト（カナリアリリース） の義務化議論が急速に進んだ。

2. カーネル特権の再評価: 「OS のもっとも深い場所で動かしてはじめてセキュリティ製品は仕事ができる」という前提が、 ようやく疑われ始めた。 Windows、 macOS、 Linux のいずれも、 EDR をユーザー空間に押し戻す技術的経路を模索している。

3. 規制の意図と帰結のずれ: 2009年に EU が公平な競争のために要求したことが、 2024年に世界規模の障害を可能にした。 規制設計と15年後の技術現実とのあいだに横たわる溝の典型例として、 教科書に載る事例になった。

850万台の BSOD は、 単一企業の品質管理ミスでも、 単一 OS の脆弱性でもなかった。 「セキュリティ製品に特権を集中させる」という業界全体の設計思想 が、 ある朝、 単一のデータファイルで実装された ── そういう構造的事件だった。