セキュリティ

SECURITY

公開：2024-07-22

MicrosoftがCrowdStrike Falcon問題に対応する新復旧ツールを発表、Windows端末の修復プロセスを迅速化

text: XEXEQ編集部

記事の要約

• Microsoftが新しい復旧ツールをリリース
• CrowdStrike Falconエージェントの問題に対応
• WinPEとセーフモードの2つの修復オプションを提供
• Windows端末の修復プロセスを迅速化

Microsoftの新復旧ツールの特徴と使用方法

Microsoftは、CrowdStrike Falconエージェントの問題に対応するため、新たな復旧ツールをリリースした。このツールは、Windows端末の修復プロセスを迅速化することを目的としている。新ツールは、WinPEを使用する方法とセーフモードを使用する方法の2つの修復オプションを提供しており、管理者は状況に応じて適切な方法を選択できるようになった。^[1]

復旧ツールの使用には、最低8GBの空き容量を持つ64ビットのWindowsクライアントと、1GB以上32GB以下のUSBドライブが必要となる。ツールの実行には管理者権限が必須であり、USBドライブのデータは完全に消去されFAT32形式でフォーマットされる点に注意が必要だ。

復旧ツールの使用手順と注意点

復旧ツールの使用手順は、まずMicrosoft Download Centerから署名済みのMicrosoft復旧ツールをダウンロードすることから始まる。その後、管理者権限で実行されたPowerShellプロンプトからMsftRecoveryToolForCSv2.ps1スクリプトを実行し、ADKのダウンロードとメディア作成が開始される。この過程には数分を要する可能性があるため、十分な時間を確保することが重要だ。

復旧メディアの作成後、影響を受けたデバイスにUSBキーを挿入し、BIOSブートメニューからUSBからのブートを選択する。BitLockerが有効になっている場合、復旧キーの入力が求められる点に注意が必要だ。ツールが問題修復スクリプトを実行した後、USBドライブを取り外し、デバイスを通常通り再起動することで復旧プロセスが完了する。

• Microsoft Download Centerからツールをダウンロード
• 管理者権限でPowerShellスクリプトを実行
• WinPEまたはセーフモードの修復オプションを選択
• 影響を受けたデバイスでUSBからブート
• BitLocker復旧キーの入力（必要な場合）

サーバサイドリクエストフォージェリとは

サーバサイドリクエストフォージェリ（SSRF）とは、攻撃者が標的のサーバに不正なリクエストを送信させる脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 内部ネットワークへのアクセスを可能にする
• 機密情報の漏洩やサービス妨害につながる可能性がある
• Webアプリケーションの入力検証の不備が原因となることが多い
• クラウド環境でより深刻な影響を及ぼす可能性がある
• 適切な入力検証とネットワーク分離で緩和できる

SSRFは、攻撃者がサーバに対して、本来アクセスできないはずの内部リソースや外部サービスへのリクエストを強制的に実行させる攻撃手法だ。この攻撃により、内部ネットワークの探索、機密情報の取得、さらには他のシステムへの攻撃の足がかりを得ることが可能となる。特にクラウド環境では、メタデータサービスへのアクセスを通じて認証情報を盗むなど、より深刻な被害につながる可能性がある。

Hyper-V仮想マシンにおける復旧プロセス

Hyper-V仮想マシンの復旧プロセスには、物理マシンとは異なるアプローチが必要となる。まず、復旧メディアの作成時にISOファイルの生成オプションを選択することが重要だ。その後、影響を受けた仮想マシンのHyper-V設定において、SCSIコントローラーにDVDドライブを追加し、生成したISOファイルをイメージファイルとして指定する必要がある。

復旧プロセスを開始する前に、現在のブート順序を記録しておくことが重要だ。これは、復旧後に元の設定に戻すために必要な情報となる。ブート順序を変更し、追加したDVDドライブを最初のブートエントリとして設定した後、仮想マシンを起動し、ISOイメージからのブートを選択する。復旧プロセスが完了したら、必ず仮想マシンのHyper-V設定からブート順序を元の状態に戻すことを忘れてはならない。

CrowdStrike Falcon問題に対する復旧ツールの影響と展望

Microsoftが提供した新しい復旧ツールは、CrowdStrike Falconエージェントの問題に直面する企業にとって重要な解決策となる可能性が高い。このツールにより、システム管理者はより迅速かつ効率的に影響を受けたWindowsクライアントとサーバーを修復できるようになった。しかし、復旧プロセスの複雑さや、BitLockerなどのセキュリティ機能との相互作用により、一部のケースでは追加の手順や注意が必要となるだろう。

今後、このような問題に対する復旧ツールの機能がさらに拡張されることが期待される。例えば、より広範なサードパーティ製暗号化ソリューションとの互換性や、クラウドベースの復旧オプションの追加などが考えられる。また、復旧プロセスの自動化や、影響を受けたシステムの事前検出機能なども、将来的に追加される可能性がある機能だ。

セキュリティ対策と復旧の容易さのバランスを取ることは、今後も重要な課題となるだろう。BitLockerなどの暗号化技術は重要なセキュリティ対策だが、同時に復旧プロセスを複雑にする要因ともなる。このジレンマを解決するための新たなアプローチや技術の開発が、今後のセキュリティ業界の重要なトピックとなる可能性が高い。

この復旧ツールの登場は、サードパーティ製セキュリティソフトウェアとオペレーティングシステムの相互作用に関する議論を活発化させるきっかけとなるかもしれない。セキュリティベンダーとOSベンダーの協力関係がより密接になり、こうした問題の予防や迅速な解決に向けた取り組みが強化される可能性がある。業界全体で、セキュリティと安定性を両立させるための新たな標準やベストプラクティスが確立されることも期待できる。

最終的に、この事例から学んだ教訓は、企業のIT部門やシステム管理者にとって貴重な知見となるだろう。セキュリティ更新プログラムの適用やシステム変更の際のリスク評価、バックアップと復旧計画の重要性が再認識されることになる。また、複雑化するIT環境において、迅速な問題解決と安定したシステム運用を両立させるための新たなスキルや知識の必要性も浮き彫りになったと言えるだろう。

参考サイト

1. ^ Microsoft Teams Blog. 「New Recovery Tool to help with CrowdStrike issue impacting Windows endpoints - Microsoft Community Hub」. https://techcommunity.microsoft.com/t5/intune-customer-success/new-recovery-tool-to-help-with-crowdstrike-issue-impacting/ba-p/4196959, (参照 24-07-22).
2. Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧