ニュース
2005/04/25 16:22 更新
技術解説:
トレンドマイクロは何を誤ったのか
4月23日朝、トレンドマイクロが配布したウイルスバスター用のパターンファイルが原因で多くのPCやサーバに不具合が生じた問題の原因が分かってきた。
トレンドマイクロが4月23日朝に配布したウイルスバスター用のウイルスパターンファイルが原因で新聞各社や交通機関などのPCやサーバに不具合が生じた問題の原因が分かってきた。トレンドマイクロが23日、24日に開催した説明会や記者会見によると「パターンファイルの作成ミスとテスト工程のミスという二重のミスがあった」(トレンドマイクロ)ことが問題の根本だ。
個人向けの「ウイルスバスター2005/2004 インターネットセキュリティ」と、企業向けの「ウイルスバスター コーポレートエディション 6.5/5.58/5.5/5.06」「Trend Micro Client/Server Security」「ServerProtect」の各製品に問題を引き起こしたのは、トレンドマイクロが23日7時33分に配布したパターンファイル2.594.00。トレンドマイクロの24日の説明によると、このバージョンから新たに「Ultra Protect圧縮」と呼ばれる方法で圧縮されたファイルを、解凍してウイルスがないかどうかを検索するための機能を追加した。
Ultra Protect圧縮は広く使われている圧縮方法ではないが、最近広がっているBot(ボット)ワームの中にはさまざまな圧縮を繰り返すことで亜種を作り出す種類がある。トレンドマイクロが2.594.00に追加したのは、その内のUltra Protect圧縮で作成されたボットを探し出す機能だった。
しかし、2.594.00のこの機能は、パターンファイルの作成ミスのために正常に動作しなかった。このミスによって「エントリーポイント番地の指定がなく、かつ1セッションによる構成されるファイルの検索」を行う場合、ウイルスバスターのスキャンエンジンが、Windows XP SP2とWindows Server 2003/2003 SP1の特定のファイルをUltra Protect圧縮されたボットではないかと常に誤認知する。スキャンエンジンは、この誤認知したファイルを解凍できないか何度も試みるが、もちろん解凍はできない。ウイルスバスターのリアルタイムスキャン機能と連動し、何度も解凍を試みるので無限ループとなり、CPUの使用率が100%になる。
トレンドマイクロによると、2.594.00が誤認知するOSの特定のファイルは、Windows XP SP2とWindows Server 2003/2003 SP1以外のWindows OSも少数だが持っている。そのため2.594.00を導入することで、「影響が出ている可能性はある」という。Windows XP SP2とWindows Server 2003/2003 SP1はこの特定ファイルの数が多いために被害が大きくなった。
また、@ITは既報で「トレンドマイクロによると、今回のパターンファイルでPCやサーバに不具合が起きるかどうかは、2.594.00をダウンロードした後にマシンを再起動したかどうかが鍵になる」としたが、24日のトレンドマイクロの説明によると、再起動をしなくても、2.594.00が導入されるだけでマシンが不調になるようだ。そのため、コーポレートエディションのサーバが2.594.00をダウンロードした後に不調になり、正常なパターンファイルの2.596.00をダウンロードできていないケースも考えられる。
「XP SP2環境ではテストがまったくなかった」
パターンファイルのテスト工程にも問題があった。トレンドマイクロはフィリピン・マニラの研究所でパターンファイルを作成し、テスト、全世界への配布を行っているが、2.594.00は人員のミスによって「Windows XP SP2の環境ではテストがまったく行なわれなかった」(同社 上級セキュリティエキスパート 黒木直樹氏)。そのため、問題を起こしたUltra Protect圧縮を解凍、検索する機能のミスを見落としてしまった(関連記事)。
また、ウイルスを検索するスキャンエンジンについても現行製品で使われている7.5xではなく、Ultra Protect圧縮未対応の7.1、7.0でテストを行っていた。そのためほとんどのユーザーが使っている7.5xの環境で発生する障害を発見できなかった。トレンドマイクロによると、Windows Server 2003/2003 SP1に対しては2.594.00のテストを行ったということだが、スキャンエンジンの環境が現行と異なったためにミスを発見できなかったようだ。
トレンドマイクロは今後の対策として、パターンファイル作成やテスト工程の二重チェック体制の整備、開発エンジニアの個人スキルに依存していたプロセスの見直しと、チェックプロセスの自動化などを行う。テストに使用するスクリプトの再チェックも行い、エンジニアのミスをなくすことに務める。
トレンドマイクロによると、問題を引き起こす2.594.00をダウンロードしたユーザーは国内だけで約17万件。トレンドマイクロとパートナー各社の確認では、企業ユーザーのうち、61社で被害が出ている。
トレンドマイクロは、2.594.00を取り除くためのツールをWebサイトで配布。ツールを収めたCD-ROMを20万枚用意し、顧客に配布する。「24日中に個人、企業のユーザーに電子メールで問題発生を告知する。100人を全国に配置して、問題が発生した企業に対してオンサイトで向かっていけるようにする」(同社 執行役員 日本代表 大三川彰彦氏)。
これら対策にかかるコストは、「現段階で数億円の費用が考えられる」(同社 代表取締役CFO マヘンドラ・ネギ氏)。だが、「費用のことは考えない。トレンドマイクロの100%のリソースを使って対策にあたる」(ネギ氏)としている。
関連記事
- 原因は「二重の人為的ミス」 ウイルスバスター不具合で謝罪
- ウイルスバスター不具合でPCメーカーも対応に追われる
- ウイルスバスター原因でシステムダウン、月曜朝は注意を
- トレンドマイクロ、PCを守るはずのパターンファイルに不具合
- @IT NewsInsight
関連リンク
[垣内郁栄,@IT]
Copyright© 2010 ITmedia, Inc. All Rights Reserved.
@IT「Windows 7」 特設サイトオープン!
IT基盤をアウトソースした中堅中小企業たち
「どこでもオフィス」で業務効率アップ!
「設備」「ネットワーク」「マネジメント」
「Windows 7搭載PC」で何が変わったのか?![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_13_1265072188.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
1日の処理を1秒にも――MySQLの達人が語る
トップエンジニア村上氏と上野氏が競演!
技術者不在でも「すぐに使える」
業務でオープンソースは不安、は過去のこと
「ノートPCの持ち出し禁止」だけで大丈夫?
企業はどこまでクラウドに取り組むべきか
@ITメールソリューションLive! in Tokyo
経営層が信頼から企業価値を生むために
世界で勝つ 強い日本企業のつくり方:利用契約の検討――グローバルクラウドで失敗しないために(前編)
IT投資の新方程式:「Twitter使ってます」――現役MS社員が“社員力”を語る(前編)
産業構造を変えるか:「住宅クラウド」の衝撃
オルタナティブな生き方 栗原進さん:ネットでリアルを楽しくしたい
最強最速アルゴリズマー養成講座:トップクラスだけが知る「このアルゴリズムがすごい」――「探索」基礎最速マスター