2005年04月25日(月) 23時43分

2重のミスが招いたウイルス対策ソフト問題 - トレンドマイクロ（MYCOM PC WEB）

ウイルス対策ソフトとして国内トップシェアを確保するトレンドマイクロのウイルス対策ソフト製品のアップデートが原因でPCが使用不能となった問題で、同社は24日、会見を開いて改めて問題の経緯を説明するとともに、関係者に陳謝した。ウイルス対策ソフトがシステムをストップさせてしまうという今回の事態は、なぜ起きたのか。

○何が起きたのか

問題は、同社が23日午前7時33分から配信を始めたウイルスパターンファイル「2.594.00」で発生した。新しいウイルスに対応するためのパターンファイルは、通常自動的にダウンロード、インストールされる仕組みとなっており、午前9時2分までの間に起動していた、同社製品が入ったPC、またはサーバーにパターンファイルがインストールされた。

その数は、国内だけで約17万件。Windows XP SP2、またはWindows Server 2003上にインストールされた、個人向けの「ウイルスバスター」、企業向けの「ウイルスバスター コーポレートエディション」、サーバー向けの「ServerProtect」「Client/Server Security」が、2.594.00を導入した直後から激しく動き出し、CPU使用率が100%近くになってマシンのリソースを食いつぶしてしまった。リソースが食いつぶされた状況は継続し、報道機関や交通機関などでシステムが停止、問題が拡大した。

同社が問題を認知したのは、米国のユーザーからの問い合わせだった。「限りなく9時に近い時間」(同社)に問い合わせを受けた同社の調査で、すぐに問題が2.594.00にあることが判明、9時2分、サーバーから同パターンファイルは削除された。

その後10時51分、2.594.00以前に公開されていた「2.592.00」を「2.596.00」とリネームして公開する。これは、自動アップデートが新しいバージョンをダウンロードする仕組みのため、問題があったパターンファイルよりも新しいものにするためだ。

13時40分には最初の対応策が同社サイトに掲載され、14時30分にはコンシューマ向けに24時間の電話サポート、17時30分には法人向けの24時間電話サポートを開設。翌24日午前1時30分には個人・法人向けにフリーダイヤルのサポート窓口を開設した。

23〜24日にかけて、個人からは約16,000件(24日10時まで)、法人からは約12,850件(同10時30分まで)の問い合わせ電話があり、同社は回線を140回線まで増強、対応を図った。

個人からの問い合わせに対しては、電話、メール、Web、FAXからの問い合わせを含めて、約4,000件について対応をすませた。法人については、61社で障害が確認され、ほぼ対応をすませた、という。

同社では、大型連休明けの5月8日まで24時間の電話サポートを継続するほか、問題修復ツールを保存したCD-ROMを、1週間以内をめどに20万枚用意、配布を行う考えだ。

○問題は新機能に

問題が発生したパターンファイル2.594.00には、新種ウイルスの情報に加え、Ultra Protectと呼ばれる圧縮形式で圧縮されたウイルスに対応するための新機能が追加されていた。

このプログラムにバグが存在したのが原因だ。リアルタイム検索でウイルスの検査を行う場合に、Ultra Protect圧縮ファイルではないファイルに対してUltra Protectファイルかどうかの検査を行い、それが無限ループして、最終的にリソースが食いつぶされる結果となった。

Ultra Protect圧縮ファイルと誤検知されたのは、Windows XP SP2、Windows Server 2003に多く含まれているシステムファイルのようで、そのため、この2つのOSで問題が悪化した。同社によれば、誤検知されるファイルはWindows Meにも多少は含まれているようで、そうしたOSのユーザーにも、XP SP2ユーザーほどではないにしろ影響があった可能性があるという。

新機能を利用するための検索エンジンは、バージョン7.5.0または7.5.1が必要で、これはパターンファイルのアップデートとともに更新される仕組みになっており、「ほとんどのユーザーはこの新バージョンを利用していた」(同社上級セキュリティエキスパート・黒木直樹氏)と見られている。

ウイルスではない、Windowsのシステムファイルの動きに対して、リアルタイム検索機能が反応、誤った検査を行い続けることで、結果的にシステムが反応しなくなったわけだ。

23日午前10時51分公開の2.596.00では、Ultra Protectの検査機能自体が存在していないため、これ以降のパターンファイルでは上記の問題は発生しない、という。

○なぜ、起きたのか

同社のパターンファイルは、フィリピン・マニラにあるTrendLabsが開発を行っている。TrendLabsでは開発の段階に応じて担当者がおり、最終的にパターンQA(品質保証)チームのQAエンジニアがテストを行い、問題がなければリリースする仕組みだ。

今回、開発でプログラムの作成ミスがあってバグが混入、それを発見するはずのQAエンジニアが、新バージョンとなる検索エンジン7.5.0/7.5.1を使ったテストを行っていなかった。さらに、主要なOSで確認するはずの動作チェックでも、Windows XP SP2での検査を怠っていた。

新しいバージョンの検索エンジンを使わなかったため、Ultra Protectの検査機能が働かなかったことから、QAエンジニアはバグを発見できず、作業手順として必須だったWindows XP SP2での検査も行われなかった、ということで、同社は2つのミスが重なった、とする。

こうしたミスが重なった背景には、TrendLabsの人員不足もありそうだ。今年から同社は、パターンファイルのデイリーアップデートを開始している。つまり、毎日何らかの更新をしているわけで、増員中とはいえ、今までとは作業量が格段に増えており、そうした人手不足がこうしたミスを招いた、という見方もある。

これに対して同社は、パターンファイルの作成、テスト工程において、今までJITメンバーと呼ばれる解析チームやQAエンジニア1グループでパターンファイルを作成していたところを、もう1グループを使って相互に確認させるダブルチェック態勢を導入する意向のほか、完全に自動化されていなかったチェック作業を完全に自動化させることを目指すなど、同様の問題が発生しないよう態勢を強化する方針だ。

米国に住む同社代表取締役社長兼CEOのエバ・チェン氏は今回、ビザ取得の関係でまだ来日していないが、チェン氏は来日後、顧客やパートナーなどへの謝罪を進めていく予定。会見に臨んだ同社執行役員日本代表・大三川彰彦氏や代表取締役CFO・マヘンドラ・ネギ氏らは会見で、個人ユーザーや法人顧客、パートナーに多大な迷惑をかけたとして陳謝、今回の問題で発生した混乱の解消に努めるほか、今後の再発防止に向けて全社を挙げて取り組んでいく姿勢を示した。

なお、現在はすでにパターンファイルが新しいものに置き換わっているため、土日が休みだった企業などで、月曜日の始業時にPCを立ち上げ、それで問題が起こる可能性は薄い。ただし、仮に週末に起動し続けていたマシンで問題のパターンファイルを取り込んでしまっている場合は、CPU使用率100%の状態が続き、新しいものに置き換わっていない可能性が高い。また、パターンファイルをサーバーが受信し、それを企業内のクライアントPCに配信するシステムで、問題のパターンファイル以降更新されていない場合、週明けのパターンファイル配信時に問題のファイルを取り込んでしまう可能性もあるので注意が必要だ。

対策方法は電話サポート、同社Webサイト、携帯電話サイト、FAXで得られる。またすでに同社は復旧ツールをリリースしているので、そちらを利用することも可能だ。

取材画像はこちら
http://pcweb.mycom.co.jp/news/2005/04/24/101.html

ウイルスバスターのアップデートで不具合、PCが使用不能に
http://pcweb.mycom.co.jp/news/2005/04/24/100.html

スパイウェアも一元管理で退治 - 企業向けウイルスバスターが機能強化
http://pcweb.mycom.co.jp/news/2005/04/11/006.html

「MSのウイルス対策ソフト参入に対する戦略はある」トレンドマイクロ
http://pcweb.mycom.co.jp/news/2005/02/04/003.html

個人情報も漏らさない ウイルス対策だけじゃない「ウイルスバスター2005」
http://pcweb.mycom.co.jp/news/2004/09/09/001.html

【レポート】レッドアラート発令 - 新種ウイルスに対応せよ
http://pcweb.mycom.co.jp/articles/2004/09/03/trendlabs/

【レポート】ウイルス対策最前線 - トレンドマイクロを支える技術集団「TrendLabs」
http://pcweb.mycom.co.jp/articles/2004/08/31/trendlabs/

トレンドマイクロ
http://www.trendmicro.co.jp/

http://headlines.yahoo.co.jp/hl?a=20050426-00000098-myc-sci