世界中が大混乱した「ブルースクリーン祭り」

　今回の障害については、すでに各方面から分析や評価がなされているだろう。しかし、問題が収束し、現象とインパクトだけを見て「高度なIT依存、特定ベンダー依存の弊害、デジタル社会への警鐘」といった通り一遍の結論で終わらせていいのだろうか。もう少し現実的な情報がほしいところだ。

　せっかくなので、背景に潜む課題や大きな被害になった原因などをもう少し掘り下げてみたい。なお、すべての情報が開示されているわけではなく、詳細は不明な部分もある。また、憶測を含む検証不完全な報道もある（事件報道ではある意味避けられない）ため、執筆時点（2024年8月上旬）での確度の高い情報・公式発表をベースとした分析となる。

　大規模なWindows障害は、ネット上で「ブルースクリーン祭り」などと騒がれた。PCや端末の画面が突然青地になり、英語のメッセージや数字、バーコードが表示される。この状態で機器がフリーズし、キーボードやマウスも一切反応しない。あるいは、再起動とブルースクリーンを繰り返す。このような状況をBSoD（Blue Screen of Death）という。

　ブルースクリーンは、Windows OSのサービスレベルで発生した重大なエラー、デバイスなどの故障によって表示されるエラー画面だ。一般的なアプリケーションのエラーなら、OSの保護機能やタスク管理機能が働くため、システムそのものが停止することはほとんどない。

　今でもよくある、という反論がくるかもしれないが、昔はアプリケーションのエラーでPCやサーバ全体がフリーズ、文鎮化するのが当たり前だった。発生頻度も桁違いといっていい。

障害の原因となった「EDR」とは何か？

　大抵のアプリケーションエラーは、エラー画面のボタン操作やタスクマネージャーを起動すれば復帰することができる。しかし、BSoDは、OSレベルで発生したエラーなため、キーやマウスの操作でどうにかなるものではない。

　エラーコードとそのとき実行していたサービス（プロセス）の情報を表示して停止する、Linuxでいえばコアダンプして停止した状態と同じと思えば良いだろう。

　復旧方法は、基本的にシステム再起動、電源リセットさせるしかない。機器の接触不良や突発的なエラーなら再起動で何事もなかったのように復旧することもある。また、アプリケーションやシステムの特定条件で発生するようなエラーでも再起動は有効なことがある。

　エラーの原因次第では、再起動で治る場合があるが、原因を排除、または修正しないと復旧は難しい。再起動でも改善しない場合は、再起動をセーフモードブートに切り替えたり、USBやDVDなど外部メディアからのブートを行い、管理用のシステムツールを使って障害原因を特定してそれを排除することになる。

　今回の場合、システムを再起動させても同じ症状（ブルースクリーン）でPCやデバイスが使えない状態になった。クラウドストライクの発表によると、EDR Falconというセキュリティソフトウェアのセンサーをアップデートしたところ、障害が発生したという。


　EDR（Endpoint Detection and Response）は、PCや各種デバイスの動作、挙動をモニタリングし、サイバー攻撃やマルウェアの活動、あるいはユーザーの危険な操作などを検知してアラートを発したり危険な通信を遮断したりするセキュリティソリューションだ。設定によってはマルウェアや不審なファイルを削除させることも可能となる。 【次ページ】なぜ？ 障害が「世界規模」まで拡大したワケ