1 ポイント 投稿者 GN⁺ 2024-07-25 | 1件のコメント | WhatsAppで共有
  • CrowdStrikeは、7月19日の障害対応にあたったチームメンバーとパートナーに、謝罪と感謝のしるしとして10ドル相当のUber Eatsギフトカードを送付
  • メールは、障害による追加業務を認める内容で、英国では7.75ポンド相当のバウチャーが提供された例もあった
  • 一部の受信者は水曜日、バウチャー利用時に「発行者によりキャンセルされ、もはや有効ではない」というエラーを確認。CrowdStrikeは、高い利用率のためUberがこれを不正利用としてフラグ付けしたと説明
  • 欠陥のあるアップデートにより、約850万台のWindowsデバイスが使用不能となり、BSODとともに空港での遅延、病院での手術中止、企業業務の麻痺につながった
  • CrowdStrikeは、アップデート検証プロセスのバグにより、問題のあるコンテンツデータが検証を通過したと説明し、CEOのGeorge KurtzとCSOのShawn Henryが公開謝罪した

10ドルのUber Eatsバウチャーによる謝罪

  • CrowdStrikeは、7月19日の欠陥アップデートで世界中の数百万台のコンピューターに障害を引き起こした後、パートナーに10ドルのUber Eatsギフトカードを送付
  • ある受信者が火曜日に受け取ったメールは、「7月19日の出来事がもたらした追加業務」を認め、ギフトカードを提供するという内容だった
  • メールには「ご不便に対し心より感謝とお詫びを申し上げます」という文言とともに、「次のコーヒー1杯や夜食は私たちが負担します」という表現が含まれていた
  • 送信者は、CrowdStrikeの最高事業責任者Daniel Bernard名義のCrowdStrikeメールアドレスだった
  • 英国ではバウチャー金額が7.75ポンドで、当時の為替レートで約10ドルだった例がある

バウチャーのキャンセルエラーと説明

  • 水曜日、一部の受信者はバウチャーを使おうとしてキャンセルエラーを確認
  • TechCrunchが確認したUber Eatsページでも、このギフトカードについて「発行者によりキャンセルされ、もはや有効ではない」というエラーメッセージが表示された
  • CrowdStrikeの広報担当Kevin Benacciは、同社がギフトカードを送った事実を認めた
    • 対象は、この状況で顧客を支援していたチームメンバーとパートナーだった
    • Uberは高い利用率のため、これを不正利用としてフラグ付けした

7月19日のアップデート障害の規模

  • 金曜日、CrowdStrikeの欠陥アップデートにより、Microsoftによると約850万台のWindowsデバイスが使用不能になった
  • 影響を受けたコンピューターは、Windowsがクラッシュしたり致命的なソフトウェアエラーで読み込めなくなったりした際に表示されるBSOD状態にとどまった
  • 障害はアムステルダム、ベルリン、ドバイ、ロンドン、および米国全土の空港で遅延を引き起こした
  • 複数の病院は手術を中止し、世界中の多数の企業でも業務が麻痺した

原因調査と公開謝罪

  • CrowdStrikeは障害後、大規模障害の原因を把握するための更新情報を定期的に公開
  • 水曜日の更新で同社は、顧客のデバイスに配布する準備ができているかを確認するプロセスのバグにより、欠陥のあるコードが問題のあるコンテンツデータを含んだまま検証を通過したと説明
  • CEOのGeorge Kurtzは、顧客とパートナーがCrowdStrikeに寄せている信頼と確信より重要なものはないと述べた
  • Kurtzは、事案の経緯と再発防止策を完全に透明な形で提供すると約束した
  • 最高セキュリティ責任者のShawn HenryはLinkedInで「私たちは皆さんの期待を裏切りました。そのことを深くお詫びします」と書いた
  • Henryは、12年以上で最も困難な48時間であり、長年かけて築いてきた信頼が数時間で大きく失われたと表現した

1件のコメント

 
GN⁺ 2024-07-25
Hacker News の意見
  • 水曜日にギフトカードの話を投稿した一部の人がクーポンを使おうとしたところ、キャンセルされたというエラーを受け取ったとのこと
    TechCrunch が確認した際も、Uber Eats のページはギフトカードが発行者によってキャンセルされ、もはや有効ではないというエラーを表示していた

    • CrowdStrike は救いようがないことを示している
    • CrowdStrike、なぜそれを使ってしまったんだ?!
    • 公開共有された後で複数回利用可能なコードをキャンセルした、と理解すればいいのかな? それならかなり合理的だし、顧客のコンピューターを壊すコードを配布したことや、その補償として10ドルを提示したことに比べれば些細なミスだと思う
    • CrowdStrike がカードの値を null に更新したようなものだ
  • ギフトカードを配らないより確実に悪い。侮辱的だ
    大きな問題が起きたなら、対応は不満よりも大きく見えるべきなのに、10ドルは「われわれはこれを大したことだと思っていない」というシグナルだ。これで全員が、なぜ大ごとなのかを正確に説明することになるので、広報の基本から失敗している

    • 「10ドル」は、「われわれには道徳的・倫理的、そしておそらく法的にも、被害を是正し補償する義務があることは認めるが、やらない」に近い
    • 「申し訳ありません。今回のデプロイは本当に大失敗でした。正直、われわれが生きていてよいのか、そもそも生まれてくるべきだったのかまで考えました。もしかすると、このすべては存在すべきではなかったのかもしれません」
      今の時点で批判者たちを圧倒するには、この程度しか想像できない
    • 以前の職場で、うちの店舗があらゆる売上記録を破り、地域内のほかの店舗を圧倒したのに、会社はチーム全体に25ドルのギフトカードを1枚送ってきた
      1人1枚ですらなく、8人チームに1枚で、その年の売上は300万ドルを優に超えていた。よくやったことへの報酬としては、平手打ちを食らったような気分だった
    • もっと悪いのは、実際に使おうとしたときに利用に失敗するケースかもしれない
  • 以前の職場であったことを思い出した。数年働いた後、HR か法務の誰かが、プログラマーたちが「自分たちの書いたコードは会社の所有物である」という合意書に署名したことがないと気づいた
    そこで、その趣旨の書類に署名してほしいと言い、各自に20ドルの小切手を渡した。もともと会社のコードだと思っていたが、金を出して買うというなら20ドルは安すぎると感じた。それでも20ドルを受け取って署名し、仕事に戻ったが、今でも笑える思い出として残っている

    • おそらくこういうことだったのだと思う:すべての契約には約因が必要で、それがなければ有効な契約ではない
      公正な対価である必要はないので、多くの契約では1ドルのような条項がよくある。そこで親切にも20ドルに引き上げてくれたのかもしれない
      実際にはその成果物はすでに職務著作の原則上、会社の所有だった可能性が高いが、明示的な契約は曖昧さをなくす。曖昧さは訴訟だけでなく監査でも非常に高くつくことがあり、買収・投資・融資などのデューデリジェンスでこうしたものが厄介に表面化する。コードの代金を支払ったというより、コンプライアンス状態を整えようとしたのだと思われ、おそらく何らかの取引に向けた監査がきっかけだった可能性が高い
    • 米国の契約はおおむね約因なしには有効ではない。基本的に、すべての当事者が価値ある何かを受け取らなければならない
      https://www.nolo.com/legal-encyclopedia/consideration-every-...
      少額の現金支払いが付いた契約依頼は、より注意深く見るべきだ
    • 2004年に友人たちとある会社と契約してテキストメッセージシステムを作ったが、その会社は最後の月の請求書を払いたがらなかった
      顧客向け景品のカスタム Harley を買うのに金を使い果たし、残金がないという理由だった。CEO+CFO+弁護士たちとこちらの弁護士が会い、彼らは最後の支払いは絶対にできないと粘った。こちらが契約書を取り出し、知的財産権の譲渡条項がないため彼らにはコードの所有権がないと示すと、「少し時間が必要だ」と言って部屋を出ていき、戻ってくるとテーブルの中央に未払い残高分の小切手が置かれていた
    • 契約の特殊性によるものだ。署名だけ求めて何も渡さなければ法廷で争えるし、裁判所はしばしば「一方的な契約」は有効ではないと見なしてきた
      たとえば、私が著作権を譲渡するのに相手は何も渡さない場合だ。20ドルは「正当な約因」であり、ある取引で品物を1ドルで売るのに似ている
  • 不法死亡訴訟で家族に損害賠償4ドルが認められた件を思い出す。ほとんど何もないよりさらに悪いレベルだ
    [0] https://hotair.com/jazz-shaw/2018/06/01/jury-awards-family-f...

    • 後に4セントに減額され、その後覆された
      https://www.tcpalm.com/story/news/local/st-lucie-county/2022...
      いずれも陪審員団の意見が大きく割れた事件だったので、低い金額はそれぞれの事件における一種の妥協だったように思う
    • むしろさらに悪いかもしれない。「われわれがやらかし、借りがあることも認めるが、気にしない」という意味だから
      https://en.wikipedia.org/wiki/Peppercorn_(law)
    • 間接・直接の死者数規模の推定がいつごろ出始めるのか気になる
      今回の件で複数の911系サービスや病院が停止し、放射線科の機器が落ちたとか、救急外来が紙とペンに戻ったという報告もあった
    • 少なくともそのサイトのドメインは説明的だ。その記事は、大したことではないことを大きく扱った側に近い
      民事事件は刑事事件のように真偽の結果ではなく、賠償額は命に4ドルの価値があるという認定ではなく、被告にほとんど過失がなかったという判断に近い
  • セキュリティだけでなく、顧客関係も分かっていないように見える。広告も愚かなので、マーケティングも分かっていないということだ。
    CrowdStrikeという名前が対人殺傷用の収穫ドローンみたいに聞こえるのが笑えるが、今や比喩としてもぴったり合ってしまった。

    • 50年後の機密解除文書で、CrowdStrikeは実はCIAの管理下にある企業で、想定されるサイバー戦用の攻撃ボットネットを運用しつつ、平時には自動更新型セキュリティソフトという隠れみのを掲げていた、ということが明らかになるのを想像してしまう。
      みんな目を回しながら、名前からして露骨にそういう意味なのにどうしてだまされたんだ、と言うだろう。たぶん妄言だろうけど、正直あの名前はいったい何なんだと思う。
    • 群衆をここまでうまく攻撃した会社があっただろうか? 名前が完璧だ。
    • 最近は彼らをClownStrikeと呼び始めた。これまで実際に分かっている組織というより、サーカスのピエロ集団のように振る舞ってきたからだ。
      今回の空気を読まない提案は、彼らがただのピエロ集団だという印象をさらに強めている。
    • CrowdStrikeは、ほとんど笑えるほどひどい名前だ。
  • Uber Eatsでは一食にもならない額なので、見事に侮辱的な金額だ。

    • 「ほぼ足りない」どころではない。最後にUber Eatsの割引クーポンを使ったとき、15ドルの食事に手数料があまりに多く乗って、30ドル割引を受けてもさらに35ドル払う必要があった。キャンセルした。
    • Amazonギフトカードならまだほぼ現金価値に近いが、フードデリバリーの価格上乗せを考えると、その10ドルは4ドルくらいの価値だ。
    • 英国のお金では7.75ポンドだが、Uber Eatsは価格が狂っているのでここ数年使っていないものの、配送料以上をカバーできるかも分からない。
      それに、食べられる状態が終わって20分たったMcDonaldsを遠隔で受け取り、バイクの後ろで揺らされたものを食べたい人たちがいったい誰なのか気になる。自転車はどこでも見かけるのに、現実ではそういう人に会ったことがない。
  • 米国南部で一緒に学校に通っていた女の子が、今は中西部で記者として働いている。家族に少し会うために故郷へ帰る予定だったが、CrowdStrikeの障害のせいでDeltaが彼女の便をキャンセルした。
    数日後、彼女の父親は故郷の宝石店で働いていたところ、不満を持った客に殺害された。奇妙な技術事故のせいで父親に最後に会う機会を失うというのが、どんな気持ちなのか想像もできない。

    • そういうことは本当に、どんな理由でも起こり得る。バスが遅れて飛行機に乗り遅れるとか、天候が悪くて便が遅れるとか、外食して食中毒になり乗れなくなるとかだ。
      何が原因になってもおかしくなかった。それでも非常に気の毒だが、ときに人生とはそういうものだと思う。
    • 今記者なら、報道でさらに悪く広がる余地がある。
      ただしClownStrikeの事故規模があまりに大きいので、彼らは気づきもしないかもしれない。
  • 考えてみると、誰かがこのアイデアを出し、おそらく複数の人が承認し、さらに誰かがそのカードを購入したり顧客に送る作業を設定したはずだ。
    その過程のどこでも「これは適切な対応ではない気がする、上に知らせよう」と考えた人がいなかったということだ。おそらくアイデアがもっと上から出たものだったからかもしれない。
    Uber Eats/DoorDash/Grubhubのカードも、10ドルでは何も買えず、さらに30ドル使う必要があるので価値がない。だから企業がそういうものを買うのだろうが、実際の購入コストは10ドルよりずっと低い気がする。
    完全なclown strikeだ。

  • これはCrowdStrikeをさらに悪く見せようとするいたずらか冗談であるべきだと思う。たぶん株価のためかもしれない。
    これほど多くのユーザーを抱える上場企業が、ここまで愚かなことをするとはすぐには信じがたい。

  • 私たちの時代でこれに近い規模のブランド災害は、Deepwater Horizonの原油流出だと思う。
    あのときBPは事実上、米国の消費者向けブランドを捨て、すべてのBPガソリンスタンドを当時の子会社で「低品質」ブランドだったArcoに変えた。その後、法務費用を確保するために事業の大きな部分を売却または縮小した。
    CrowdStrikeに今どんな別の選択肢があるのか分からない。同社が背負う法的責任は膨大なものになるだろうし、ブランド評判は無価値よりさらに悪い状態だ。

    • CrowdStrikeが負う法的責任について根拠はあるのか?
      評判については、実際に経済的影響を与えた数々の厄介な事件ごとにこういう話を読んできたが、今回の件でCrowdStrikeが無価値になるとは疑わしい。
      MSはCode RedやSlammer、90年代末〜2000年代初頭の複数の侵害の後も無価値にはならなかったし、Appleも特定の持ち方をしないと通話できなかったiPhoneの後に無価値にはならなかった。Toyotaも急加速問題の後、Facebookもインターネットを一日壊した後、AmazonもUS-EAST障害でみんなの午後を丸ごと台無しにした後、Norfolk SouthernもEast Palestineの脱線事故の後、無価値にはならなかった。そのほかにも数え切れないほどある。
      今回の問題は、その多くの事件ほど影響が大きかったわけでもない。一部のコンピューターが数時間ダウンし、混乱を招いた程度だった。会社やブランド評判を破壊するには、もっとはるかに大きな出来事が必要だ。まともな地域の光ISPと競争がある場所でも、どれだけ多くの人がComcastを選ぶかを見ればいい。
    • BPが米国の消費者向けブランドを捨てたというのは、長続きしなかったように思う。
      その災害の最中もその後も、BPのガソリンスタンドがなかった時期は記憶にない。