CrowdStrike によりブルースクリーンが出たときの対処法

2024.07.21

概要

2024年7月19日に CrowdStrike 社の CrowdStrike Falcon Sensor をインストールしている端末にて、ブルースクリーンが発生する問題が多発しました。
本記事では、ブルースクリーンが繰り返し起きている環境での対処法を記載しています。

問題内容

CrowdStrike Falcon Sensor をインストールしている Windows の PC にて、ブルースクリーンが表示され、Windows が正常に起動が出来なくなります。CrowdStrike の csagent.sys を使用している端末にて、予期せぬ再起動が起きてしまうとのことでした。
どうやら CrowdStrike 社が発信した CrowdStrike Falcon Sensor の最新パッチを受理すると、本問題は発生しているとのこと。

Mac および Linux には影響はございません。

本アプリケーションは、基本的に企業で導入されているアプリであり、個人的には発生しないものですので、ご安心ください。

解決方法

C-00000291 がつく sys ファイルを削除することで解決します。

1.[自動修復] の画面にて、[詳細オプション] をクリックします。
本画面はブルースクリーンが複数回出ることで、起動します。

2.[オプションの選択] 画面にて、[トラブルシューティング] をクリックします。

3.[詳細オプション] 画面にて、[コマンドプロンプト] をクリックします。

4.以下コマンドを打ち込み、[C:\] が [C:\Windows\System32\drivers\CrowdStrike] へと変わっていることを確認します。

CD C:\Windows\System32\drivers\CrowdStrike

5.以下コマンドを打ち込み、”C-00000291″ がファイル名になっているファイルをすべて削除します。

del C-00000291*.sys

6.右上の[x]をクリックし、PC を再起動します。

注意

本操作は、Windows のシステムフォルダを操作する作業であり、操作ミスにより別の不具合等が発生することがあります。
CrowdStrike Falcon Sensor は上記の通り、企業に導入されているものであり、個人でフォルダー等を操作できないことなどによって対処できないこともあります。
基本的には、情報システム部等の企業で精通している方の指示を待ってください。

また、PC などの操作に詳しい方が本作業は実施するべきであると思っています。
Twitter (X) では、よくわかっていない方が間違った手順などを展開しており、それが 1000RT 以上になっているのも目にしておりますので、情報ソースの確認はしっかり行い、そのうえで改めて作業には十分ご注意ください。

追記

本問題は CrowdStrike 社の新しい修正パッチにより、問題となる C-00000291*.sys は、問題が起きる前に戻されたとのことです。

  • CrowdStrike has identified the trigger for this issue as a Windows sensor related content deployment and we have reverted those changes. The content is a channel file located in the %WINDIR%\System32\drivers\CrowdStrike directory.
    • Channel file “C-00000291*.sys” with timestamp of 2024-07-19 0527 UTC or later is the reverted (good) version.
    • Channel file “C-00000291*.sys” with timestamp of 2024-07-19 0409 UTC is the problematic version.
    • Note: It is normal for multiple “C-00000291*.sys files to be present in the CrowdStrike directory – as long as one of the files in the folder has a timestamp of 05:27 UTC or later, that will be the active content.

CrowdStrikeは、この問題のトリガーがWindowsセンサー関連のコンテンツ展開であることを特定し、これらの変更を元に戻しました。コンテンツは「%WINDIR%\System32\drivers\CrowdStrike」ディレクトリにあるチャネルファイルです。

  • タイムスタンプが2024-07-19 0527 UTC以降のチャンネルファイル 「C-00000291*.sys 」は、戻された(良い)バージョンです。
  • チャンネルファイル 「C-00000291*.sys 」のタイムスタンプは2024-07-19 0409 UTCで、問題のあるバージョンです。
  • 注:CrowdStrikeのディレクトリに複数の「C-00000291*.sys」ファイルが存在するのは正常なことです。フォルダ内の1つのファイルのタイムスタンプが05:27 UTC以降であれば、そのファイルがアクティブなコンテンツとなります。
Falcon Content Update Remediation and Guidance Hub | CrowdStrike

参考情報

KB5042426: CrowdStrike issue impacting Windows servers causing an 0x50 or 0x7E error message on a blue screen – Microsoft サポート

Windows message center | Microsoft Learn

Falcon Content Update Remediation and Guidance Hub | CrowdStrike

コメント

タイトルとURLをコピーしました