Kaspersky Internet Security騒動の裏に隠された真実：Security Incident Report

Kaspersky Labsのセキュリティ製品「Kaspersky Internet Security」を利用するユーザーの多くが悲鳴を上げている。4月18日に配布された更新ファイルを適用後、画面上のあらゆる文字が消えていくなどの被害報告が相次いで寄せられているのだ。現時点で国内総代理店のジャストシステムから公式な発表は出ていない。

[norah，ITmedia]

　「Kaspersky Internet Security」「Kaspersky Anti-Virus」などのセキュリティ製品を販売するKaspersky Labs。ユージン・カスペルスキー氏が創設したこのセキュリティベンダーの製品は、日本国内ではジャストシステムが国内総代理店として、同製品の販売／サポートを行なっており、少なくない数のユーザーがいると思われる。そんなわたしも同社製品のユーザーだ。

　そんな中、Kaspersky Internet Security（KIS）ユーザーの多くがここ数日、苦難のときを迎えているようだ。これは、4月18日に配布された更新――再起動を要求したことから定義ファイルの更新ではなく、コンポーネントを更新したと考えるのが自然だろう――後、フォントやブラウザの画面がおかしな状態になることを指している。

Kaspersky Lab Forumに投稿されている写真。このほか、多くのユーザーから同様の報告が寄せられているようだ

KISのファイアウォール機能が原因？

　今回発生している一連の出来事は、KISのファイアウォール機能がメモリを開放しないことに起因しているように思える。実際、この問題が発生するのが総じてネットワークに高い負荷をかけているときだったため、試しにWebページの閲覧を行いカーネルメモリを300Mバイト辺りまで上げた後、少し様子を見たところ数値は高止まりを続けた、その後少し間をあけてから、KISのファイアウォール機能をオフにすると今度は117Mバイト程度にまで落ちた。

　また、発生するユーザーとしないユーザーがいたのもの特徴的だった。これは以下の問題の発生条件に起因している。

1. 利用するPCのメモリの搭載量によって発生条件が変化する
2. PCの稼働時間によっても発生しないことがある
3. インターネットの利用形態にもよる

　このように発生がユーザーの利用形態や環境によって変化する。

　最初の点については、この問題がメモリを開放しないことに起因する以上、メモリが1GバイトのPCと2GバイトのPCとではメモリの限界値に倍近い差があることは明らかだ。例えば500ミリリットルのペットボトルと1リットルのペットボトルに、同時に水を同じ速度で注ぐとする、1リットルのペットボトルに注がれた水が1回あふれる間に500ミリリットルのペットボトルでは2度あふれてしまうのと同じように、メモリの搭載量によって、発生回数に違いが出る。

　2番目の点はPCの稼働時間だ、PCの電源を毎回定期的に切ればメモリは確実に開放されるため、比較的リッチなメモリ環境であれば長い時間稼働していても発生しないかもしれない。しかし、スタンバイや休止を使った場合はメモリは開放されない可能性が高く、たとえリッチなメモリ環境であったとしても発生頻度は多く感じるだろう。

　3番目のインターネットの利用形態だが、Ajaxのようにバックグラウンドで動的に通信を行うページを利用した場合、利用者から見たらそれほどページを閲覧していなかったとしても、実際にはかなりの通信を行っていることになる。例えばGmailやオンラインのフィードリーダーだ。たかだかフィードリーダーとはいえ、300件くらいの未読記事をさばけば結構な通信量となるし、ニコニコ動画やYoutubeなどを流し見でもすれば通信量は増していく。さらに通知系のアドオンやツールバーなども定期的にサイトに更新がないかを確認するために通信していることを考えるならFirefoxユーザーにこの問題が多く発生しているのも納得のいくことかもしれない。

　とはいってもジャストシステムはKaspersky製品を「毎日2時間以上ネットをするユーザー向けの総合セキュリティソフトウェア」とうたっていたはずだ。一日やそこら電源を入れっぱなしにしただけで簡単に動作に支障をきたしてしまうファイアウォールではいかがなものかと思ってしまう。実際、2時間持たずに症状が発生したこともあったのだ。もし企業で一括導入などを行っていたとしたら、その企業は今回の不具合によって1日仕事にならなかった可能性もあるという事実をジャストシステムはどう感じているのだろうか？

問題は収束の方向へ、しかしそのつめ跡は残る

　現在、新たな更新ファイルが登場しているようで、問題は解決の方向へと向かいつつあるようだが、わたしは今回の問題が単に低品質のパッチが原因だとは思わない。KIS7.0のファイアウォールには慢性的なリークバグが存在すると考えている。わたしは家にいて起きているときはほぼ電源を入れっぱなしにしているノートPCがある、このノートPCに昨年の後半ごろから長時間インターネットに接続していると突然インターネットに接続できなくなるという状況にしばしば遭遇した。そのときに出てきたエラーメッセージはWSAENOBUFSというものだった。このエラーが発生するのはシステムのバッファ領域が不足して接続できない状況に発生する。実のところ今回のスクリーンクラッシュもメモリを開放しないことから生じるリソース不足に起因する。今回の件と併せて考えると、パッチのできの良しあし以前に、もともとKIS7.0のファイアウォール機能には何らかのリーク癖が存在していると考えるのが妥当ではないだろうか。さらにわたしはこの件をジャストシステムに相談している。しかし、彼らの回答は互換モードを使えというものだった。いま思えばこの出来事は今回の騒動の伏線だったのかもしれない。

　問題が発生してすでに数日が経過した。ユーザーの中には、更新ファイルの入手先を国外に変更することで、問題が解決したという報告も寄せられつつあるが、ジャストシステムからは公式の発表はまだ出ていないほか、カスペルスキーの情報サイトにもこの件にかんする情報は見当たらず、ユーザーは不安をかき立てられている。収束に向かいつつあるとはいえ、これでOS再インストールしている人が存在する可能性を考えれば、沈黙は罪なことではないだろうか。

　実際このバグは突然フォントが崩れ、ダイアログがおかしくなるという現象が、何度再起動しても発生するのだ。コンピュータに詳しくない人であればOSが壊れたと勘違いしても不思議ではない。わたしももう一台のPCで同じ問題が発生するのを確認するまでは、ノートPCのOSを入れ直そうと思っていたのだ（OSがリソース不足で落ちるという現象はWindows 9xの時代にはよくみかけていたが、Windows 2000やWindows XP以降普通に使っている分にはまずみることのできない現象だ、わたし自身も恥ずかしいことにリソース不足という現象を忘れていた）、実際にOSの再インストールのために貴重な週末を失った人がいたとしても不思議ではない。

　わたし自身としてはKasperskyを気に入っているし、Shurikenを愛用しているくらいジャストシステムも好きではある。しかし今回の件にかんしてはいささか対応のまずさを感じる。もちろんジャストシステムは販売とサポートが主のようなので、彼らもまた被害者であり、問題の本丸はKasperskyなのかもしれない。しかし、不具合がある以上ジャストシステムはユーザーに早期に公表すべきだし、好ましいやり方ではないが緊急アップデートという形で問題が発生する前のバージョンに戻すという手もあったはずだ。Kasperskyがどんなに優れたソフトウェアであっても、信用できないのであれば、検出率が低くて頼りないソフトウェアでよいと思ってしまうのではないだろうか？　それはユーザーにとっても、開発者にとっても不幸な出来事なのではないだろうか（→続報）。