クラウドストライク社の損害賠償は？大規模システム障害バグの責任は誰に？

7月 20, 2024 7分23秒

クラウドストライク社は、世界的に有名なサイバーセキュリティ企業であり、企業や組織のシステムを守るために広く利用されています。

日本や世界各地で発生した大規模なシステム障害において、クラウドストライク社のセキュリティソフト「ファルコン」が原因として指摘されています。

今回の事件では、クラウドストライク社のCEO、ジョージ・カーツが「システム更新のソフトウェアに不具合があり、マイクロソフトのシステムに問題を引き起こした」と説明しました。

世界規模でWindowsデバイスが次々とブルースクリーン（BSoD）に！大規模障害発生中／「CrowdStrike Falcon Sensor」に含まれるドライバーが原因か https://t.co/NYshQub0sU pic.twitter.com/NPQBBYdUqc
— 窓の杜 (@madonomori) July 19, 2024

Contents

1 クラウドストライク社のシステム更新で発生した不具合は何が原因だったのか？
2 クラウドストライク社の損害賠償の可能性は？
3 損害賠償リスクの分析
4 米クラウドストライク社株価が大幅下落！
5 まとめ

クラウドストライク社のシステム更新で発生した不具合は何が原因だったのか？

クラウドストライク社のシステム更新で発生した不具合の原因は、同社のエンドポイント検知と対応（EDR）製品である「ファルコンセンサー」の一部アップデートに含まれていたバグです。

このバグがWindows環境でのシステム障害を引き起こしました。

クラウドストライク社のCEO、ジョージ・カーツ氏によれば、今回の問題は「Windowsホスト向けの特定のコンテンツ更新に含まれていた欠陥」が原因でした。

具体的には、クラウドストライク社が提供する「ファルコン」ソフトウェアの更新プログラムに不具合が含まれており、これがWindowsパソコンのシステムに影響を与えました。

この不具合により、Windowsパソコンが繰り返し再起動したり、異常停止したりする問題が発生しました。

クラウドストライク社は、この問題がサイバー攻撃によるものではなく、ソフトウェアの更新に起因するものであると明らかにしました。

CrowdStrike側じゃなくてWindows側？
> 何が原因でしょうか?
世界的なサイバーセキュリティ企業クラウドストライクのジョージ・カーツ社長は、この問題はマイクロソフト・ウィンドウズ端末の「コンテンツ更新」における「欠陥」が原因だと述べた。 https://t.co/myanNUyjzc
— SAKON (@sakon310) July 19, 2024

マイクロソフトのAzureクラウドサービスやMicrosoft 365アプリケーションにも影響が及び、多くの企業やサービスが停止しました。

また、同社は迅速に問題の特定と修正を行い、修正プログラムを展開しました。

この不具合は、特定のタイムスタンプを持つファイルに起因しており、正常に動作するファイルに差し替えることで復旧が可能です。

クラウドストライク社は、影響を受けた顧客に対して対応方法をアナウンスし、復旧作業を進めています。

クラウドストライク社の損害賠償の可能性は？

世界中で起きていた、ウインドウズがブルースクリーンになってしまう大規模なシステム障害、やはり「クラウドストライク」社のセキュリティパッチが原因だった模様(;´Д`) これ、損害賠償訴訟とか起こされたら、会社が潰れるレベルの失態なんじゃないの？（個人が使うようなパソコンには影響しない） https://t.co/5YjKnaqTXI
— ぁゃιぃWalker（投稿用） (@exY3rHzOeZd6luJ) July 19, 2024

クラウドストライク社が損害賠償の裁判に巻き込まれるかどうかは、契約内容と法律の解釈に依存します。

同社の利用規約には、損害賠償責任の制限が明記されています。

具体的には、クラウドストライク社は「付随的損害または派生的損害」に対して責任を負わないとされています。

このような契約条項は、企業が予期しない損害から自社を守るために一般的に使用されます。

しかし、重大な過失や故意による不具合が原因であれば、これらの条項が無効とされる可能性もあります。

したがって、クラウドストライク社が実際に損害賠償を負うかどうかは、法廷での判断に委ねられることになります。

多くのサイバーセキュリティ企業と同様に、クラウドストライク社も契約書に「バグやシステム障害に関して責任を負わない」旨の免責条項を設けています。

このような免責条項は、企業が予測できない技術的な問題や攻撃から自らを保護するための一般的な手法です。

損害賠償リスクの分析

法的観点から見ると、クラウドストライク社が損害賠償を求められるかどうかは、契約内容や法的責任の範囲によります。

過去の事例では、システム障害やセキュリティ侵害が原因で企業が訴訟に巻き込まれるケースもありましたが、多くの場合、契約の免責条項によって企業は責任を回避することができました。

例えば、クラウドストライク社の契約には、「システム障害や不具合が発生した場合、企業は迅速に修正プログラムを提供し、影響を最小限に抑える努力をする」という内容が含まれていることが多いです。

これにより、企業は訴訟リスクを減少させることができます。

過去の事例では、クラウドストライク社は2022年に、セキュリティソフトの更新プログラムの不具合が原因で、複数の企業がシステムダウンを経験しましたが、同社は迅速に対応し、影響を最小限に抑えることができました。

このような対応が、訴訟リスクを回避するためには重要です。

今回のシステム障害においても、同社は迅速に問題を特定し、修正プログラムを展開しました。

【説明】Windowsパソコンで強制再起動、クラウドストライク社がアップデート実施https://t.co/ZXOhyE5OmV

障害はWindowsで、クラウドストライク社のセキュリティソフトを入れているPCで発生。同社はすでにソフトウエアをアップデートし、基本的には自動で修復されると説明しているという。 pic.twitter.com/XC1nrK7Suc
— ライブドアニュース (@livedoornews) July 19, 2024

米クラウドストライク社株価が大幅下落！

2024年7月19日、米国のサイバーセキュリティ企業クラウドストライク社の株価が大幅に下落しました。

この株価下落の主な原因は、同社のソフトウェア更新に起因する世界的なシステム障害です。

クラウドストライク社の株価は、システム障害の発生後、前市場取引で最大19%の下落を記録しました。

このシステム障害は、同社のエンドポイント検知と対応（EDR）製品「ファルコンセンサー」の更新に含まれていたバグが原因で、Windows環境において広範な影響を及ぼしました。

今日の大騒ぎになったWindowsブルースクリーン問題を受けて、原因となったクラウドストライク社の株価がこちら。
うちの取引先では中小企業主体ということもあって幸い被害の報告はありませんでした。大企業や官公庁だとそれなりに実績があるので、導入担当したSEと営業さんは大変だろうなあ。 pic.twitter.com/lO5suRUdQW
— ~あずあず (@azaz_wadatsumi) July 19, 2024