クラウドストライク事件、米国の脆弱性を敵にさらすロードマップを提供
(nytimes.com)デジタル回復力に何が起きたのか?
-
デジタル災害の原因
- 金曜日に空港、病院、テレビ局に影響を与えたデジタル障害は、ソフトウェア更新のバグによって発生した
- これは敵対勢力によるものではなく、米国の脆弱性を露呈した出来事である
-
なぜ復旧が難しいのか
- バイデン政権は、ロシアや中国のハッカーによる攻撃シナリオをシミュレーションしてきた
- しかし今回の事件は、単純な人的ミスによって引き起こされたものだ
- 複雑なネットワークシステムでは、小さなミスが大きな問題を引き起こしうる
-
サイバー戦士たちの反応
- 今回の事件が国家レベルの攻撃ではない点に安堵した
- 中国の Volt Typhoon のようなマルウェアは見つけにくく、除去はさらに難しい
- 今回の事件は、サイバー回復力の限界をあらためて浮き彫りにした
-
政府と民間の協力
- ここ数年、米国はサイバーセキュリティ問題を深刻に扱い始めている
- FBI、NSA、CISA などの政府機関が民間企業と協力し、脆弱性を共有してハッカーへの警戒を促している
- バイデン大統領は、重大事件を検証するサイバー安全審査委員会を設立した
GN⁺のまとめ
- 今回の事件は、単純なソフトウェア更新エラーによって発生したデジタル障害である
- 複雑なネットワークシステムの脆弱性を露呈し、サイバー回復力の限界を示した
- 政府と民間の協力が重要であり、重大事件を検証する仕組みが必要である
- 類似機能を持つ製品やプロジェクトとしては、CrowdStrike のようなサイバーセキュリティソフトウェアがある
1件のコメント
Hacker News のコメント
メディアで見た解説の中で、そもそも頻繁なセキュリティパッチが必要な OSをインフラに使うべきではない、という話がほとんどないのが興味深い
空港の電光掲示板のフライト一覧画面にブルースクリーンが出ている写真も見たが、なぜこういうものを Linux や OpenBSD の上に作らないのか疑問
セキュリティは後から載せる機能ではなく最初から組み込まれるべきで、今は Windows の上にセキュリティをかぶせようとする産業全体ができているが、それでも依然としてまともに機能していない
実際には DOS や OS/2 向けとして始まり、NT4 に移行してきたケースも多く、歴史・慣性・慣れ・コスト・サポートのしやすさがすべて作用している
セキュリティは製品ではなくプロセスであり、ディストリビューションも頻繁なアップデートが必要だが、インストールされるソフトウェアの範囲を減らすことはできる
空港の表示装置に MPEG2 や VP1 のようなコーデックは必要ないはず
こうした特殊システムにはガレージ製ソフトウェアも多く、SAML/OIDC を望んでも平文 LDAP、よくて Active Directory しかサポートせず、最新の Apache Tomcat を望んでもベンダーが問題解決できないため、3年前の脆弱なバージョンだけを「サポート」する、といった具合
CrowdStrike のブルースクリーンの原因がヌルポインタだったという仮説が正しければ、安全な言語を使うべきだったし、この場合は責任を CrowdStrike に帰しやすいと思う
Microsoft は散弾銃を提供したのであって、その銃口を自分の方に向けないのはベンダーの責任
https://news.ycombinator.com/item?id=41018029
問題が提起されており、リスクが軽減されているという意味だから
セキュリティはチェックボックスではなく、環境が絶えず変わる以上、終わりのないプロセスに近い。アップデートを受けない、あるいは頻繁に更新されない OS の方が良いわけではない
望ましいのは OS を不安定にしないアップデートであり、その背後には各組織がこれらの機器を運用する中で積み重ねてきた膨大な意思決定の層がある
セキュリティは階層的に設計され、組み込まれるべき
「機能していない」というより、長い間静かだったからこそ機能してきたのであり、人は失敗した事件だけを目立って見る
たいていの人は Windows コンピュータを使えるし、デスクトップ IT サポート担当者も Windows 管理に慣れており、建物の施設チームもある程度は手伝える
Microsoft はコンピュータ群を管理しやすくし、自社の教育・認定や多数のサードパーティ教育も提供している
Windows は事実上の業務用標準マシンであり、ほとんどのサイネージ会社も Windows を使っている
BSD を知っている人を見つけるのは簡単ではない
Big Brand は格好の標的だが、OpenBSD のようなオープンソースプロジェクトはそうではない
数百万ドルの損失が出たとしても、Linux/BSD ではなく Windows+CrowdStrike を選んだという理由で CTO が解雇される可能性は低そう
「IBM を買って解雇された人はいない」という言葉は、少なくとも企業の世界では今も当てはまる
「デジタル・レジリエンス」が存在した時期が本当にあったのか分からないし、あったのならいつだったのか気になる。
今回の混乱は敵対者が引き起こしたものではないが、重要な局面で米国の脆弱性マップを提供したようなものだ。
米国と仲の悪い勢力は、すでにこうした脆弱性マップを作成し、蓄えている可能性が高い。
米国や他国がこうした脅威に対して緩い態度を取り、脆弱性対策をさらに強化しないのは驚きでもあるが、一方では明白でもある。
コストも要因だが、より大きな要因は利便性だと思う。
脆弱性に合わせてシステムを強化すると、便利さや使いやすさが下がり、人々はすぐに反発する。
MicrosoftがWindows、特にWindows 95を出したとき、非専門ユーザーを取り込もうとして、クリックするだけですべてが簡単にできるようにしたが、セキュリティは十分に考慮されていなかった。
ウイルス、脆弱性、侵害が制御不能になると制限が導入され、ユーザーは慣れ親しんだ自由をあまり享受できなくなった。
Microsoftは世界を緩い運用方式に慣れさせ、それを元に戻そうとする試みはその後ずっとユーザーの抵抗に遭ってきた。
Windows 95の発売前から容易に予測できた大問題に今も閉じ込められており、修正は極めて難しいだろう。
企業は安全で冗長性があり信頼できるコンピューターシステムを運用することでは報われず、90日前にLower Manhattanのアナリストが定めた期待を損益計算書の最終行の数字が上回ることによって報われる。
米国では社会の大半の業務を企業が担っているので、重要なシステムもそのように設計される。
この件が法廷に持ち込まれ、CrowdStrikeが7月19日以降に顧客へ与えた損害を補償するために買収されなければならなくなる可能性もあるが、何年もかかるだろうし、原告は象徴的な賠償しか得られないか、まったく得られないかもしれない。
その頃には市場はヘッジし、規制機関を取り込み、損失を切り離して、ただ通り過ぎていくだろう。
資産はこれを「創造的破壊」と見る人々に安値で買われ、人々の命が危険にさらされたことは気にされないだろう。
そしてサイクルは続く。
ほぼすべての重要インフラが何年にもわたってサイバー攻撃を受け、システム停止や障害もあったが、適応してきた。
時にはローテクな解決策に戻り、時には堅牢性を備えた新しいシステムを作って古いものを取り除いた。
問題が具体的かつ差し迫っていれば、政治的にもはるかに正当化しやすい。
緊張が高まり始めたとき、米国が最初に取った措置の一つが、NSAのサイバーセキュリティ専門家チームを派遣してロックダウンと侵入排除を支援することだったと記憶している。
点を稼ぎ、何かをしているように見せやすいからだ。
一方、防御は無数の古いエンドポイントを保護したり、収益性の高い巨大企業に、脆弱性は低いが収益性も低いことをするよう説得したりする退屈な作業だ。
ソフトウェアのインストールが私設ネットワーク内にあり、機械とトポロジーが根本的に異なる構造で、品質は低くても多様なソフトウェアが使われていた時代のほうが、今日よりはるかに堅牢だった。
今ではAWSのような単一サービスの障害一つで多くの企業が停止し得るし、今回のような悪いアップデートは全員に即座に影響し、ドミノ効果を生む。
昔はこうしたことは一般的ではなかった。
私たちは集合的なアーキテクチャをいくつかのベストプラクティス系ツールに集中させてしまい、それはデジタル攻撃だけでなく、設定ミス、管理上の失敗、会社の失敗、疲弊した低賃金エンジニア、最適化といったものに対しても単一障害点になっている。
システム強化が必ず不便にするという意見には同意しない。
この10年間、セキュリティ業界はむしろ反対方向に動いており、厳しすぎるセキュリティはユーザーに単純で予測可能な回避策を探させ、全体のセキュリティ態勢を弱めることに気づいた。
パスワードに関するNIST勧告の変化を見ればよい。
90日ごとに変更し、過去10個と異なり、さらに複雑性要件まであると、ユーザーは最小長に予測可能なパターンを使い、末尾の数字だけを増やす。
再利用の有無を確認するために保存している古いパスワードハッシュは、侵害時に攻撃者へ各ユーザーのパターンを教える負担になる。
最近は、エンドユーザーにとってほとんど、または完全に透明な使えるセキュリティがはるかに多く展開されている。
昔のWebサイトのCAPTCHAは一般的でひどく、回避も容易だったが、CloudflareとGoogleのCAPTCHAソリューションはかなり透明で、効果もはるかに高い。
Microsoftの全般的かつ継続的な緩さが悪いセキュリティ慣行に寄与したのは確かだが、そのエコシステムは本質的に不安定な環境のせいで奇妙な面があり、インターネットインフラの中核基盤だったことは、短いピーク時を除けばほとんどなかった。
不幸なことに企業インフラでは中核であり、利用可能または透明なセキュリティに関するメモを結局受け取らなかったようだ。
今は裏ででも努力していることを願う。
歪んだ形ではあるが、CrowdStrikeは西側文明に災害復旧とレジリエンスの強制テストをしてくれたようなものだ
実際の攻撃は1時間以内にロールバックされることはないだろう
これほど多くの企業・政府・リソースに大規模なアクセス権を持つ会社はCrowdStrikeだけではない
内部の従業員1人がディスクワイパーを配布し、WindowsだけでなくLinuxやmacOSのコンピュータまで破壊したら、影響を受けたシステムはまったく復旧できないかもしれない
その場合、基幹システムがオンラインに戻るまで数か月かかり、世界経済はCOVIDの時よりもさらにひどく停止する可能性がある
要点は「CrowdStrikeはなぜもっと上手くやらなかったのか」でもあるが、より大きくは、なぜ基幹システムの技術は単一ベンダーのミスやハッキングに対してもっと堅牢ではないのか、ということだ
たとえばブートループではなく、ディスクワイパーがすべての起動ディスクを消去していたなら、サーバー・ATM・キオスク・POSなどにPXEブートの復旧イメージやバックアップイメージを事前に構成できない理由があるのか疑問だ
UEFIやBIOSまで消されても、自動復旧メカニズムの実装が技術的に不可能というわけではないのではないかと思う
IT・セキュリティ事故対応の根本原因分析をしたことがないなら、そこまで深く考えられないのも理解できるが、ランサムウェア・ディスクワイパー・サプライチェーンリスクが10年以上も蔓延しているのに抜け落ちていた根本原因分析とは、まさにこの種のものだ
責める相手を探して怒るのは簡単だが、根本原因は解決しない
難しい技術的判断を下し、良い危機を無駄にせず、レジリエントな技術投資を推し進めることこそが、この問題と繰り返される問題の根本原因を実際に解決する
どこかの時点では、こうしたものを復旧不能にすることはできるが、それが本当に解くべき問題ではない
さらに一歩進めると、セキュリティへの強調がレジリエンスの議論を犠牲にしている
特に財務面では、セキュリティよりレジリエンスのほうがはるかに重要だ
これは何十年もの間、公然の秘密だった
主要なOSとブラウザのベンダーは数えるほどしかなく、パッチを出し続けており、ほとんどのソフトウェアはサプライチェーンがあまりに巨大で、何であれ監査するのは事実上不可能で、本当に安全だと認証するのも難しい
「セキュリティ」ソフトウェアは攻撃対象領域を広げるだけだ
業界の人間はみな知っていたことだが、NYTが今になって追いついてきたのは興味深い
米国外の企業なら、このCrowdStrikeサービスを使うのは正気ではないと思う
FBIは秘密令状によって、CrowdStrikeにインフラへDLLを注入するよう強制できる
https://en.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveillance_Court
米政府は企業にデータを引き渡すよう命じることはできるが、実際に作業をするよう強制することはできない、と理解していた
サンバーナーディーノ銃乱射事件後の政府とAppleの紛争の核心もこの部分で、Appleには支援の提供を拒否する法的権利があった
https://en.wikipedia.org/wiki/Apple%E2%80%93FBI_encryption_dispute
NSAやCIAがバックドアを仕込むためにノートPCや携帯電話の配送を途中で押さえて自ら作業するところまで行ったことも、そうした行為を強制できないという見方を示唆している
昨日家族に、本物の戦争に突入したら8時間以内にすべてが動かなくなるだろうと言った
現金と紙の事務作業に戻ることになるが、苦痛で遅いだろう
https://cbr.ru/eng/press/event/?id=18776
https://bank.gov.ua/en/news/all/drugiy-rik-povnomasshtabnoyi-viyni-obsyagi-bezgotivkovih-rozrahunkiv-zrostayut
障害の大半はミサイル攻撃を受けた物理インフラに限られ、ロシアがデジタル戦で弱いわけでもない
敵対的なハッカーが不足しているわけでもない
必要なのは「多様性」だ。もちろん、疎外された集団という意味での多様性ではない
より多くの基幹機器が互いに異なるOSを動かしていれば、被害は限定されただろう
「モノカルチャー」の危険は普通は植物の話で語られるが、同じリスクはコンピューティングインフラにも当てはまる
文明が崩壊しなかったという事実自体が、WindowsとCrowdStrikeを使っていないインフラが膨大にある証拠だ
少し乱暴に言えば、CrowdStrikeの影響を受けた企業も、昨日の出来事について責任の一部を共有していると思う
CrowdStrikeはこの分野のトップ企業でもないのに、ネットワーク効果によってこうしたことが起きた
この程度の安全性を得るために必要なプラットフォーム数は、非現実的なほど多くなるだろう
世界中で、Windows マシン上で CrowdStrike を動かしている企業に大規模なコンピューター障害が発生した。
CrowdStrike はハッキング防止ソフトウェアとして販売されているが、実際には C レベル幹部が従業員の行動を監視するために使う人気ソフトウェアである。
非常に高い権限でインストールされ、設計上、修正や削除が難しくなっている。
この出来事が本当に誰かに何らかの教訓を与えるのか気になる。
Microsoft は影響を受けたマシンが 850 万台だと発表したが、信じがたい。ただ、私たちのような比較的中規模の組織でも対応に投じた労力を見ると、「従業員の半分がリモート勤務なのに、いったいどうやってこれらのマシンにアクセスするのか?」というような、ごく単純な疑問が生じる。
対応はいつも「これをやるとコストはいくらか」だったが、今では反対側の数字、つまり「やらないとコストはいくらか」も出てきた。
スクリーンショットがあるとよい。
「希望がないわけではない」として、Google の Kent Walker が、AI によって脆弱性の特定、穴のパッチ適用、コード品質の改善で有意義な進展が可能になると述べた部分には同意しない。
唯一の希望が漠然とした AI の約束 だけなら、実際には希望はないと思う。
これは、学校での銃乱射を防ぐ最善の方法は教師に銃を持たせることだ、と言うのに似ている。
AI が、段階的なデプロイ戦略にはコストをかける価値があると CrowdStrike 経営陣をよりうまく説得できたとは思えない。
こうした問題はテクノロジーではなく人間が引き起こすものなので、テクノロジーをさらに投入しても解決しない。