米国 下院 国土安全保障委員会 クラウドストライクの欠陥ソフトウェアアップデートの世界的影響のアセスメントについての公聴会 (2024.09.24)

こんにちは、丸山満彦です。

米国下院の国土安全保障委員会のサイバーセキュリティ・インフラ保護小委員会が、2024.09.24にクラウドストライクの欠陥ソフトウェアアップデートの世界的影響のアセスメントに関する公聴会を開催していますね...

多くの企業が利用するソフトウェアの欠陥が世界的に大きな影響を与えたという意味では重要な問題であったと思います。原因がとしては、サイバー攻撃だろうが、ソフトウェアの単なるコーディングミスであろうが、同じですよね...

 

● U.S. House of Representatives  - Homeland Security

・2024.09.24 An Outage Strikes: Assessing the Global Impact of CrowdStrike’s Faulty Software Update

 

A Cybersecurity and Infrastructure Protection Subcommittee Hearing entitled, “An Outage Strikes: Assessing the Global Impact of CrowdStrike’s Faulty Software Update.”

33分15秒くらいから会議は始まります。

 

概要について別途ページが作られていますね...

 

・2024.09.24 

ICYMI: Committee Examines CrowdStrike Processes in First Congressional Hearing on the Disastrous July Global IT Outage	見逃した人向け:委員会、7月の世界規模のIT障害に関する初の公聴会でCrowdStrikeのプロセスを検証
WASHINGTON, D.C. — This week, the House Homeland Security Subcommittee on Cybersecurity and Infrastructure Protection, led by Committee Chairman Mark E. Green, MD (R-TN) and Subcommittee Chairman Andrew Garbarino (R-NY), held a hearing to examine CrowdStrike’s defective software update that caused a major information technology (IT) outage on July 19, 2024. In the hearing, Members received witness testimony from CrowdStrike’s Senior Vice President of Counter Adversary Operations Adam Meyers. The Committee initially requested testimony from CEO George Kurtz on July 22, but was told by the company that Mr. Meyers was the appropriate witness.	ワシントンD.C. — 今週、マーク・E・グリーン下院議員(共和党、テネシー州選出)とアンドリュー・ガバリノ下院議員(共和党、ニューヨーク州選出)が率いる下院国土安全保障委員会のサイバーセキュリティ・インフラ保護小委員会は、2024年7月19日に大規模なIT(情報技術)障害を引き起こしたCrowdStrikeの欠陥のあるソフトウェアアップデートを調査するための公聴会を開催した。公聴会では、CrowdStrikeの敵対者対策業務担当上級副社長アダム・メイヤーズ氏から証言を受けた。委員会は当初、7月22日にCEOのジョージ・クルツ氏から証言を受けるよう要請したが、同社からメイヤーズ氏が適切な証人であると伝えられた。
Members examined how the defective update caused an outage across industry sectors, as well as how CrowdStrike has since adjusted its processes for pre-deployment testing and the rollout of updates. Members also expressed concerns about the company’s security culture, the impact of the outage on government networks, such as the Cybersecurity and Infrastructure Security Agency (CISA), and how the cross-sector impacts of the outage could serve as a dangerous inspiration for America’s cyber adversaries.	議員らは、欠陥のあるアップデートが業界全体にわたって停電を引き起こした経緯、および、CrowdStrikeがそれ以降、展開前のテストとアップデートのロールアウトのプロセスをどのように調整したかを調査した。議員らはまた、同社のセキュリティ文化、サイバーセキュリティ・インフラセキュリティ庁(CISA)などの政府ネットワークへの停電の影響、および、停電がさまざまな業界に及ぼした影響が、アメリカのサイバー敵対者にとって危険なインスピレーションとなる可能性について懸念を表明した。
In Chairman Green’s opening statement, he highlighted the potential homeland security implications of the IT outage:	グリーン議長の冒頭の声明では、IT障害が国土安全保障に及ぼす潜在的な影響について次のように強調した。
“As the July 19th outage has demonstrated yet again, our networks are increasingly interconnected. While we know that nation-state actors and criminals try to exploit our networks, we would not expect companies to defend themselves from these targeted attacks. However, as I emphasized with the President of Microsoft in June, we do expect companies to implement the strongest cybersecurity practices possible. Our nation’s security depends on a strong public-private partnership for protecting our networks. …  In August, CISA Director Jen Easterly described this incident as, ‘a useful exercise — a dress rehearsal for what China may want to do to us.’ We look forward to working with you to make sure we never make it to opening night.”	「7月19日の障害がまたも示したように、私たちのネットワークはますます相互接続されている。国家による行為や犯罪者が私たちのネットワークを悪用しようとしていることは承知しているが、企業がこうした標的型攻撃から自らを守ることは期待できない。しかし、6月にマイクロソフト社の社長と強調したように、企業が可能な限り最善のサイバーセキュリティ対策を実施することは期待している。わが国の安全保障は、ネットワーク防御のための強力な官民連携に依存している。…8月、CISAのジェン・イースタリー長官は、このインシデントを「有益な演習であり、中国が米国に対して行う可能性があることの予行演習」と表現した。私たちは、初日を迎えることが決してないよう、皆様と協力していきたいと考えている。
In his line of questioning, Chairman Green asked Meyers how the decision was made to launch the update:	グリーン委員長は、メイヤーズ氏にアップデートの開始がどのように決定されたのかを尋ねた。
“Who made the decision to launch the update? Did AI do that or did an individual do that––and can you tell me how that decision was made?”	「アップデートの開始を決定したのは誰か? その決定はAIが行ったのか、それとも個人が行ったのか、そしてその決定がどのように下されたのかを教えてほしい」
Meyers answered:	メイヤーズ氏は次のように答えた。
“AI was not responsible for making any decision in that process. It is part of a standard process. We release 10 to 12 of these updates, content updates, every single day. So, that was part of our standard operating procedure.”	「AIは、そのプロセスにおけるいかなる決定にも関与していない。 これは標準的なプロセスの一部である。 当社は、コンテンツのアップデートを10から12件、毎日リリースしている。 つまり、これは標準的な業務手順の一部であった」
Chairman Green continued:	グリーン委員長はさらに続けた。
“These updates are automatic globally?”	「これらのアップデートは世界中で自動的に行われたのか?
Meyers answered:	メイヤーズ氏は答えた。
“The updates were distributed to all customers in one session. We’ve since revised that. In the full testimony, I’ve included a graphic that depicts what that now looks like and that is no longer the case.”	「アップデートは1回のセッションで全顧客に配信された。その後、修正した。証言の全文には、現在の状況を示す図表を添付している。
Subcommittee Chairman Garbarino questioned Meyers on why government agencies were also affected:	小委員会のガバリノ委員長は、政府機関も影響を受けた理由についてメイヤーズ氏に質問した。
“There was reporting about CrowdStrike’s faulty software update—it’s largely focused on commercial operations, like emergency services, flights, but there was also a big impact on federal agencies such as the FCC, Social Security, CBP, and even CISA. Although networks are becoming increasingly interconnected, government networks should be isolated from commercial ones. Why were federal agencies impacted by this outage? Are there different updates to test for commercial versus government business when you deal with your clients, or is it all the same?”	「CrowdStrikeのソフトウェア更新に欠陥があったという報道がありました。これは主に緊急サービスや航空便などの商業業務に焦点を当てたものですが、FCC、社会保障、CBP、さらにはCISAなどの連邦政府機関にも大きな影響がありました。ネットワークはますます相互接続されるようになっていますが、政府のネットワークは商業ネットワークから分離されるべきです。なぜ連邦政府機関がこの停電の影響を受けたのでしょうか? 顧客と取引する際に、商業用と政府用でテストするアップデートが異なるのか、それともすべて同じなのか?」
Meyers replied:	メイヤーズ氏は次のように答えた。
“The updates went to Microsoft Windows operating system sensors that CrowdStrike had deployed. So that would have impacted any system that was running Microsoft operating system with that particular version of CrowdStrike Falcon that was online during the time period that the channel file was distributed.”	「アップデートは、CrowdStrikeが展開したMicrosoft Windowsオペレーティングシステムのセンサーに送られた。そのため、チャンネルファイルが配布された期間中にオンラインになっていた、特定バージョンのCrowdStrike Falconを搭載したMicrosoftオペレーティングシステムを実行しているシステムすべてに影響が及んだ。
Chairman Garbarino continued:	ガバリノ議長は続けた。
“So, as long as Microsoft was on that computer, using that system––whether it was government or commercial––it didn’t matter. It was affected.”	「つまり、Microsoftがそのコンピュータ上で、政府または商業用に関わらず、そのシステムを使用している限り、影響を受けるということだ。」
Meyers replied:	メイヤーズ氏は次のように答えた。
“As long as the CrowdStrike sensor is running on the Microsoft operating systems––on those systems at that time––yes.”	「CrowdStrikeセンサーがMicrosoftオペレーティングシステム上で動作している限り、つまり、その時点ではそのシステム上で動作している限り、その通りだ。」
Representative Mike Ezell (R-NY) asked Meyers about concerning reports on how CrowdStrike handles staffing decisions and suppor:	代表者マイク・エゼル(共和党、ニューヨーク州選出)は、CrowdStrikeの人員配置の決定とサポートに関する報告について、メイヤーズ氏に質問した。
“A recent article stated that, ‘engineers and threat hunters were given just two months for work that would have normally taken a year.’ Additionally, the article noted that CrowdStrike confirmed its use of  ‘existing engineers instead of hiring a new team of cloud threat hunters.’ Pearl River Community College and many others in my district offer an excellent cybersecurity technology program for our next generation of students to help fill this unsettling skills gap. Do you make these staffing decisions because of a lack of adequate job force in the industry?”	「最近の報道では、『エンジニアや脅威ハンターは通常1年かかる仕事をわずか2か月でこなすよう命じられた』と述べられていた。さらに、記事では、クラウド脅威ハンターの新しいチームを雇用する代わりに、既存のエンジニアを活用するとCrowdStrikeが確認したと指摘していた。パールリバー・コミュニティ・カレッジをはじめ、私の選挙区内の多くの大学では、次世代の学生を対象に、この不安を煽るスキルギャップを埋めるための優れたサイバーセキュリティ技術プログラムを提供している。このような人員配置の決定は、業界で十分な労働力が不足していることが理由ですか?」
Meyers answered:	メイヤーズ氏は次のように答えた。
“We have a robust internship program. We bring some of the most talented from these internal and external internship programs, and recruit from all over the country and all over the world in order to fill positions.”	「当社には充実したインターンシップ・プログラムがある。社内および社外のインターンシップ・プログラムから最も優秀な人材を一部採用し、また、全米および世界中から採用して、ポジションを埋めている。
Rep. Ezell continued:	エゼル議員はさらに続けた。
“What steps do you take to better support your staff and ensure that they have the right tools and skills to succeed?”	「スタッフをより良くサポートし、成功に必要な適切なツールとスキルを確実に習得させるために、どのような対策を講じていますか?」
Meyers answered:	メイヤーズ氏は次のように答えた。
“We have extensive internal training programs. We also send our team to various trainings across the globe, different industry trainings at conferences, and other programs where they can learn new skills and continue to develop their existing skills. We also have some of our own researchers and analysts conduct trainings at those same events to help train individuals that are not yet in the workforce, or working at other companies, in order to learn some of the critical skills that are needed to identify and to track advanced threat actors.”	「当社には広範な社内研修プログラムがあります。また、当社のチームを世界各地のさまざまな研修や、会議での異業種研修、その他、新しいスキルを習得し、既存のスキルを継続的に向上させることができるプログラムに参加させています。また、当社の研究者やアナリストが、同じイベントでトレーニングを実施し、まだ社会に出ていない人や他社で働いている人に対して、高度な脅威行為者を識別し追跡するために必要な重要なスキルを習得する手助けもしている。
Representative Laurel Lee (R-FL) questioned Meyers on the risks and benefits of CrowdStrike’s cybersecurity software running at the core of the operating system––the kernel––rather than the user space:	ローレル・リー(フロリダ州選出、共和党)代表者は、ユーザー空間ではなく、オペレーティングシステムの中心であるカーネルで動作するCrowdStrikeのサイバーセキュリティソフトウェアのリスクと利点について、メイヤーズ氏に質問した。
“CrowdStrike has this really extraordinary access into the kernel of the operating system, and you all were talking a bit about the risk versus efficiency of having this kind of access and making updates within the kernel. Share with me your thoughts on whether this incident could have been averted, or future incidents could be averted, by using the user space for this kind of update.”	「CrowdStrikeはオペレーティングシステムのカーネルに非常に特別なアクセス権限を持っています。この種のアクセス権限を持ち、カーネル内で更新を行うことのリスクと効率性について、皆さんも少しお話しされていましたね。この種の更新にユーザー領域を使用することで、今回のインシデントや将来のインシデントを回避できた可能性があるかどうか、ご意見をお聞かせください。」
Meyers replied:	メイヤーズ氏は次のように答えた。
“Thank you for the question. The kernel, as I said, provides the visibility, the enforcement mechanism, the telemetry and visibility, as well as the anti-tamper. So, I would suggest that while things can be conducted in user mode from a security perspective, kernel visibility is certainly critical to ensuring that a threat actor does not insert themselves into the kernel themselves and disable or remove the security products and features.”	「ご質問ありがとうございます。 私が申し上げたように、カーネルは可視性、強制メカニズム、遠隔測定および可視性、そして改ざん防止を提供します。 ですから、セキュリティの観点からユーザーモードで実行できるとしても、脅威行為者が自らカーネルに侵入し、セキュリティ製品や機能を無効化または削除することがないよう、カーネルの可視性は確かに重要です。」
Rep. Lee continued:	リー議員はさらに続けた。
“So, is it your assessment then that it’s not possible, really in realistic terms, to do it outside of the kernel?”	「では、現実的な観点から見て、カーネル外で実行することは不可能だというのがあなたのアセスメントですか?」
Meyers replied:	メイヤーズ氏は次のように答えた。
“With the current kernel architecture, this is the most effective way to get the visibility and to prevent an adversary from tampering with security tools.”	「現在のカーネルアーキテクチャでは、可視性を確保し、敵対者がセキュリティツールを改ざんするのを防ぐには、これが最も効果的な方法です。」
Rep. Lee pressed:	リー議員はさらに追及した。
“So, it’s ‘the most effective way,’ but it’s not the only way possible?”	「最も効果的な方法」ではあるが、唯一の方法ではないということですね?」
Meyers replied:	メイヤーズ氏は次のように答えた。
“It is certainly the industry standard to use the kernel for visibility, enforcement, and anti-tamper––to ensure that you can stop a threat.”	「可視性、施行、および改ざん防止にカーネルを使用することは、業界標準です。脅威を確実に阻止できるようにするためです。
Rep. Lee continued:	リー議員は続けた。
“You’ve testified thus far that you’ve made modifications to the phased rollout approach and also the pre-deployment testing. What other modifications has CrowdStrike made or changes to your internal practices to avert future-similar incidents?”	「あなたはこれまで、段階的展開のアプローチと展開前のテストに修正を加えたと証言してきました。同様のインシデントを今後回避するために、CrowdStrikeは他にどのような修正を加え、社内での業務をどのように変更したのですか?」
Meyers answered:	メイヤーズ氏は次のように答えた。
“That is the primary change that we’ve made.”	「それが私たちが実施した主な変更点です。」

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.14 米国 FTC ブログ 機能停止を回避し、広範囲にわたるシステム障害

・2024.08.11 CROWDSTRIKE ファルコンのトラブルの根本原因分析報告書 (2024.08.06)

・2024.08.05 米国 GAO ブログ CrowdStrikeの混乱がソフトウェア・アップデートによる主要なサイバー脆弱性を浮き彫りにする (2024.07.30)

・2024.07.20 米国 CISAもCrowdStrikeの更新の問題について情報提供をしていますね...はやい...