OVHの判例に基づくフランスにおけるCrowdStrikeの損害賠償責任

 (thehftguy.com)
1 ポイント 投稿者 GN⁺ 2024-07-26 | 1件のコメント | WhatsAppで共有

フランスでCrowdStrikeが損害賠償責任を負う可能性

  • 最近のCrowdStrikeの事件により、850万台のコンピュータが無効化され、54億ドルを超える損害が発生したと推定されている
  • CrowdStrikeが損害賠償責任を負う可能性は高い
  • フランスではOVH事件と類似した事例があった

OVHについて

  • OVHは欧州最大のデータセンターおよびクラウド提供事業者で、物理サーバー、仮想マシン、多様なクラウドサービスを提供している
  • 2021年3月10日、SGB拠点で火災が発生し、2つのデータセンターが全焼、さらに2つのデータセンターが一時的に運用不能となった
  • 多数の顧客が損害賠償を請求して勝訴した
  • 裁判所で議論された主な事項:
    • 事件の最中およびその後にサービスが完全に停止した
    • データが完全に復旧不能な形で失われた
    • OVHはバックアップサービスを提供していたが、そのバックアップも復旧不能な形で失われた
    • 複数のデータセンターが近接して配置されていたが、いずれも同じ場所にあり、裁判所はこれを不合理と判断した
    • バックアップが同一データセンター、または同じ場所にある別のデータセンターに保存されていたことも不合理と判断された
    • 顧客が複数の場所にバックアップを置くことが望ましい慣行であると裁判所は認めた
    • 裁判所は、OVHがバックアップ提供者として合理的な基準を順守すべきだと判断した
    • OVHのバックアップサービスは合理的な基準を満たさず、目的を果たしていないと判決した

CrowdStrikeについて

  • CrowdStrikeはコンピュータにインストールされるアンチウイルスソフトウェアで、主に大企業のデバイスに導入されている
  • 2024年7月19日、CrowdStrikeはソフトウェアアップデートを配布したが、このアップデートが障害を引き起こし、数百万台のコンピュータが無効化された
  • 主な論点:
    • CrowdStrikeはコンピュータ起動時に高権限モードで実行される
    • 数百万台の重要なデバイスに配布されている
    • アップデートが数百万台のデバイスに同時に配布された
    • ソフトウェアのアップグレードは段階的に進めるのが望ましい慣行である
    • CrowdStrikeはテストおよび段階的配布を行わなかった
    • 顧客は以前からこの問題を提起していたが、CrowdStrikeはこれを拒否していた
    • アップデート配布後、ほぼ2時間にわたって問題が認識されなかった
    • すべてのコンピュータが無効化され、ユーザーは問題を解決できなかった
    • ITチームが物理的にアクセスしてコンピュータを再インストールするか、ドライバファイルを削除しなければならなかった
    • 数千台から数十万台のデバイスを復旧するには数週間を要する見込みである
    • 重要なデバイスは復旧不能となる可能性がある
    • CrowdStrikeは保護すべきコンピュータを破壊した
    • 顧客に深刻な被害をもたらした

GN⁺のまとめ

  • CrowdStrikeの事件は、OVH事件と同様に損害賠償責任を負う可能性が高い
  • CrowdStrikeのアップデート障害によって数百万台のコンピュータが無効化され、企業は大きな被害を受けた
  • この事件はソフトウェア配布とテストの重要性を強調しており、とりわけ重要なデバイスに配布されるソフトウェアでは、より徹底した検証が必要である
  • 類似の機能を持つ他のセキュリティソフトウェアとしては、Symantec、McAfeeなどがある

関連記事

1件のコメント

 
GN⁺ 2024-07-26
Hacker Newsの意見

  • フランスのCSPで働く者として、OVHの件をリアルタイムで経験した

    • OVHはデータ損失について責任を負った
    • データ損失は恒久的で取り返しのつかない問題である
    • 一部の企業はデータ損失によって業務継続が不可能になった
    • サービス停止はSLA契約で対処できる問題である
    • CrowdStrikeは大きな責任を負わないだろう
    • 医療分野にはさらに多くの規制が必要になるだろう

  • この見出しは誤解を招く

    • 個人の意見を事実であるかのように表現している
    • 「CrowdStrikeが責任を負うべきだと思う」のような表現の方が適切だ

  • 一般的な免責条項は、米国以外の法域では意味を持たない

  • OVHとCrowdStrikeの事案を比較するのは適切ではない

    • OVHはバックアップシステム全体が失敗した
    • CrowdStrikeは顧客のカーネルを約1時間停止させた
    • ソフトウェアバグは、ほとんどの業界で不可避なものとして扱われる
    • CrowdStrikeのソフトウェアは多くの重要な経路に組み込まれていたためニュースになった
    • CrowdStrikeのソフトウェアはずさんに開発されていた
    • 法的枠組みの中で責任を負う可能性は低い
    • 顧客は財布で投票する可能性がある

  • 多くの請求者はすでに弁護士を通じて補償を得ようとしているだろう

    • 複数の法域でどのように組織化されるのか気になる

  • Falconが提供する保護機能が、なぜOS自体で提供されていないのか気になる

    • Windowsには明確なセキュリティ上の役割が存在しない
    • Red HatやCanonicalと比較される

  • B2B契約では、両当事者とも熟練していると見なされる

    • 契約条件を超える法的保護はほとんどないだろう
    • 英国法への理解に基づく

  • ほとんどのEU諸国には責任を制限する法律がある

    • 病院、救急サービスなどは直接損害について訴訟を起こせる
    • 個人も損害について訴訟を起こせる
    • 機会費用や人件費は訴訟にしにくいだろう
    • 過失の程度が重要な要素になるだろう

  • 2019年7月19日にCrowdStrikeがソフトウェアアップデートを配信した

    • 年は2024年の誤りのようだ

  • 数週間前にCrowdStrikeエージェントがLinuxシステムを破損させた件があった

    • この件と関係があるのか気になる