7/22 08:26 更新 (個々の端末に対する復旧策)
--------------------------------------
7/19、CrowdStrike Falconを導入したWindows機器においてブルースクリーン(BSOD)となる障害が発生いたしました。本件については、CrowdStrike Falconセンサーのアップデートに起因する問題であったとCrowdStrike社より報告を受けおります。
すでに原因の特定及びクラウド側での修正は行われており、現時点で通常利用できている環境では問題がない状況ではございますが、BSOD後の再起動が正常に行われない環境においては手動による対処が必要になっております。
また、一部Webサイト等において対応方法の案内がでておりますが、必ず公式Webサイト等の情報をご確認いただければと存じます。
弊社Networld サポートポータルにおいても情報の公開、更新を行っております。影響を受ける可能性があるホストを特定する方法の詳細手順等も公開しておりますので弊社サポートポータルもご参照いただければと存じます。
本件についてご不明点、ご質問、ご要望等ございましたら弊社サポート窓口までご連絡いただければと存じます。
ネットワールドサポートポータル(保守ユーザー様向け):
CrowdStrike社ブログ:
- Technical Details: Falcon Update for Windows Hosts | CrowdStrike (上記と同一内容英語版)
Falcon Content Update Remediation and Guidance Hub | CrowdStrike
CrowdStrike Support Portal (CrowdStrike ユーザー様向け):
Tech Alert | Windows crashes related to Falcon Sensor | 2024-07-19
- 本事象のKnowledgeです。
Dashboards to identify Windows hosts impacted by the content update defect
- 本事象の影響を受ける可能性のあるホストをダッシュボードで表示する方法のKnowledgeです。
Summary
- FalconセンサーがインストールされているWindows端末でブルースクリーンが発生する事象が確認されております。
- CrowdStrikeのファルコンプラットフォームは正常に稼働しておりますので、お客様のシステムが正常に稼動している場合、ファルコンセンサーがインストールされていても、システムの保護に影響はございません。なお、ファルコン・コンプリートおよびオーバーウォッチのサービスは、本事象により中断されることはありません。
Technical Overview
- CrowdStrikeでは、この問題のトリガーがWindowsセンサー関連のコンテンツ展開であることを特定し、これらの変更を元に戻しました。
原因となったコンテンツは、%WINDIR%\System32\drivers\CrowdStrikeディレクトリにあるチャネルファイルです。
- 原因となるチャネルファイル「C-00000291*.sys」のタイムスタンプが日本時間7/19 13:09から14:27の場合、影響を受ける可能性がございます。
(日本時間 7/19 14:27 以降のチャネルファイルの場合は、修正が行われておりますので復旧対処の必要はございません)
※注意: CrowdStrike ディレクトリに複数の C-00000291*.sys ファイルが存在する場合がありますがこれは正常動作です。このような場合フォルダ内のいずれかの同ファイルのタイムスタンプが 日本時間7/19 14:27以降であれば、そのファイルがアクティブとしてみなされます。
影響を受けない端末
- 日本時間7/19 14:27以降にオンラインになったWindows端末
- MacまたはLinuxの端末
ステップ1: 影響を受ける端末の特定
A. Advanced Event Searchによる端末特定方法
検索クエリーはこちらのKB記事を参照ください。
B. ダッシュボードによる端末特定方法
ダッシュボードは、影響を受けたチャンネルとCID、および影響を受けたセンサーを表示します。
ダッシュボードの使用方法、影響を受ける端末の特定方法は、こちらのKB記事をご参照ください。
※注意: ご利用にはInsightのサブスクリプションが必要になります。
ステップ2: 復旧
ホストのクラッシュが継続して発生してしまい、クラウドからの修正の適用が行われない場合には、以下の手順で復旧が可能です。
個々の端末に対する復旧策:
- 端末を再起動すると、修正されたチャンネルファイルをダウンロードできるようになります。高速な通信を確保するため有線インターネット接続で端末を再起動することをおすすめいたします。
- リブート後にクラッシュが継続する場合
- オプション1 - 手動削除手順
- 詳細手順についてはこちらのマイクロソフトの記事から復旧のステップをご確認いただけます。
- オプション2 – リカバリツールによる削除手順
- リカバリツールは、こちらのKB記事をご参照ください。
※注意: 上記のオプションは共にBitLockerで暗号化された端末は回復キーが必要な場合があります
- リカバリツールは、こちらのKB記事をご参照ください。
- オプション1 - 手動削除手順
マイクロソフト環境でのBitLockerリカバリ
Workspace ONE ポータルでのBitLockerリカバリ
TaniumでのBitLockerリカバリ
CitrixでのBitLockerリカバリ
※回復キーなしでのBitLocker リカバリーはこちらの記事をご参照ください
AWS リカバリ
Azure リカバリ
- Azure statusをご参照ください
Google Cloud Platform (GCP) リカバリ
パブリック クラウドまたは仮想を含む同様の環境の復旧手順
オプション1:
- 影響を受ける仮想サーバーからオペレーティングシステムのディスクボリュームを切り離す
- 先に進む前にディスクボリュームのスナップショットまたはバックアップを作成。(意図しない変更に対する予防策)
- ボリュームを新しい仮想サーバーに接続/マウント
- “%WINDIR%\\System32\drivers\CrowdStrike” ディレクトリに移動
- “C-00000291"から始まるファイル名で、“.sys” で終わるファイル(“C-00000291*.sys”)を削除
- 新しい仮想サーバーからボリュームを切り離す
- 影響を受けた仮想サーバーに固定ボリュームを接続/マウント
オプション2:
日本時間7/19 13:09より前のスナップショットにロールバック
インテル® vPro テクノロジー修復ガイド
Rubrik リカバリー
Cohesity サポート
サポート
