2024 年 7 月 19 日は多くの人にとって悪夢のような日になったかも知れません。
なんと世界中、同じようなタイミングで、 PC がブルースクリーンになるという事象が発生したのです。
結局はサードパーティー製のアンチウィルスソフトにバグが混在していたということなのですが、さすがのマイクロソフトも状況の大きさから Microsoft 365 管理センターでアナウンスを行っていました。
https://admin.microsoft.com/#/MessageCenter/:/messages/MC822418
タイトルはなかなかわかりにくい感じですが、「問題があって Windows に影響が出て、ブルースクリーンになる。」ということが書かれています。
開くと復旧方法が載っています。
Safe Mode で開いて以下フォルダにある「 C-00000291*.sys 」を削除するという内容ですね。
C:\Windows\System32\drivers\CrowdStrike
日本語に変換するとこんな感じ。。。
修正方法は見ての通りなのですが、厄介なのは Bitlocker が設定されていた時ですね。
通常のサインインであればサインインと同時にロックが解除されるのですが、 Safe Mode ではそうはいかないので、回復キーが必要になるんですよね。
なくしてしまっていると復旧がままならないので、もしかするとキーを探すのに手間取っているケースなどもありそうです。
ちなみに本家のアナウンスは以下となっています。
https://www.crowdstrike.com/blog/statement-on-falcon-content-update-for-windows-hosts/
ディスクを外して仮想サーバーから起動する。などが書かれていいますが、本質は同じですね。この方法でも Bitlocker は解除が必要なので困っている人は少なからずいそうです。
しかしやっぱりカーネルへのアクセスがあるドライバーは危ないですね。
Microsoft が Defender を作って、サードパーティーをカーネルに近づけさせなかった理由がわかりますね。
これから復旧を行おうとしている方もいると思いますが、まずは Sale Mode 起動を覚えておきましょう。
音楽:火祭りの踊り
