シマンテックは1月8日,同社のクライアント・セキュリティ製品「Norton AntiVirus」などを使用していると,パソコンの動作が著しく遅くなる場合があることを明らかにした。その結果,他のアプリケーション・ソフトを起動できなくなる場合がある。同社に問い合わせたところ,現時点(1月13日15時)ではこの問題が解消されたことを確認していないという。Internet Explorer(IE)の設定で「発行元証明書の取り消しを確認する」を無効にすれば回避できる。
パソコンの動作が遅くなる可能性があるのは,「Norton AntiVirus」「Norton Internet Security」「Norton Personal Firewall」「Norton AntiSpam」「Norton SystemWorks」――などである。
この問題の原因は,各ユーザー(パソコン)からのCRL(Certificate Revocation List:証明書失効リスト)のダウンロード要求に,米VeriSignのサーバーが応えられなかったことにある。シマンテック製品は,製品に含まれるコンポーネント・プログラムが正当なものかどうか(改変されていないかどうか)をチェックするために,各コンポーネントのデジタル署名(シグネチャ)を検証する。このデジタル署名には,VeriSignから発行されたデジタル証明書(Class3SoftwarePublishers)が使用されている。デジタル証明書には有効期限が設けられているが,発行者の都合により途中で無効にされる場合がある。無効にされた証明書の情報を収めたものがCRLである。
シマンテック製品は各コンポーネントを検証する際に,VeriSignが提供するCRL(Class3SoftwarePublishers.crl)を参照する。このCRLの有効期限が2004年1月7日に切れるため,アプリケーションは新しいCRLを入手するために,VeriSignのサーバー(crl.verisign.com)へ一斉にアクセスした。このアクセスにVeriSignのサーバーが耐えられず,新しいCRLをダウンロードできない状況が発生した。シマンテック製品は新しいCRLを入手できないと適切にコンポーネントを検証できず,パソコンの動作を著しく遅くする。
製品そのものではなく,CRLをダウンロードできなかったことが原因なので,シマンテック製品に限らず,VeriSignのCRLを利用するアプリケーションには同様の問題が発生する可能性がある。しかしながら,VeriSignの日本法人であるベリサインに問い合わせたところ,シマンテック製品以外では問題は特に報告されていないという。
ベリサインによれば,CRLサーバーの増強は1月8日には終了し,現在では大量のトラフィックに耐えられる状態になっているという。VeriSignは米国時間1月12日,CRLサーバーへのトラフィックは1月7日以前の通常の状態に戻ったことを公表している。
シマンテックは,現時点でのこの問題の回避方法を同社サイトで公開している。具体的には,IEの「ツール」メニューから「インターネットオプション」を選択し,「詳細設定」タブをクリックする。そして,「発行元証明書の取り消しを確認する」のチェックを外す(デフォルトではチェックされている)。
ただし,この設定は他のアプリケーションにも影響を与えるので要注意である。問題が解消された場合,発生していない場合には,上記のチェックは外すべきではない。
◎参考資料
◆「Norton AntiViurs 2003で2004 年1月7日以降,コンピュータの動作が異常に遅くなり,Microsoft Word や Excel が起動できなくなった」(シマンテック)
◆「CRL配布サイトのレスポンス遅延について」(ベリサイン)
◆「VeriSign Update on Certificate Revocation List Expiration」(米VeriSign)
(勝村 幸博=IT Pro)
