本日世界的に、セキュリティソフトの「CrowdStrike」をインストールしているWindows環境でブルースクリーンが猛威を振るっている問題の対処法です。
以下の手順は社内で検証してますが、実行の際は自己責任でお願いします。会社のPCの場合、基本的には会社のシステム管理部門の指示に従ってください。
最初に言われていた暫定的な手順(※現在は非推奨)
回復オプションのコマンドプロンプトで、 C:\Windows\System32\Drivers 配下の CrowdStrike フォルダをリネームする
CrowdStrikeが原因のPCでこの方法を行うと、ブルースクリーンから抜け出し、起動できるようになります。ただしCrowdStrikeが無効化されるので、セキュリティが脆弱になります。
もっとも、サポート中のWindowsであればMicrosoft Defenderが有効化されるので、セキュリティリスクは思ったほど高くはないはずだと筆者個人は考えています。
公式手順を踏まえた復旧手順
クラウドストライクが発表した復旧手順を解説します。
回復オプションのコマンドプロンプトを開くところまでは同様で、C:\Windows\System32\Drivers\CrowdStrike 配下の「C-00000291*.sys」ファイルを削除します。
以下のコマンドのような具合です。
cd /d C:\Windows\System32\Drivers\CrowdStrike
del C-00000291*.sys
※パーティション構成などによってはCドライブ以外に割り当てられる場合があるので、その場合はC:の部分を該当のドライブレターに置き換えましょう。
暫定手順を行ってしまった場合の復帰方法
Windowsは起動しているはずなので、管理者権限でコマンドプロンプトを開き、以下のコマンドを入力すればCrowdStrikeを再度有効化できます。要はリネームしたフォルダ内の該当フォルダを削除してから、名前を元に戻しましょう。
※実行すると再起動するので、作業中のデータは保存してから行いましょう。
cd /d C:\Windows\System32\Drivers
del [リネームしたCrowdStrikeフォルダの名前]\C-00000291*.sys
ren [リネームしたCrowdStrikeフォルダの名前] CrowdStrike
shutdown -r -t 0
BitLockerが有効の場合
回復オプションのコマンドプロンプトを指定した段階でBitLocker回復キーを求められるため、回復キーの入力が必要です。Microsoftアカウントと連携していた場合は、ワンチャンクラウド上に保存されている可能性があるので確認しましょう。
Microsoftアカウントと連携しておらず、回復キーが手元にない場合は詰みです。
ただ、再起動を繰り返して復帰したという報告もあります。ブルースクリーンが表示されるまでにインターネットに疎通しCrowdStrikeが更新されれば、次回からは起動できます。
祈りながら再起動を繰り返しましょう🙏