 |
トレンドマイクロは4月24日午後2時30分,都内のホテルでウイルス対策ソフトの「ウイルスバスター」などによるパソコンへの大規模動作障害について記者会見を開き,経緯と対策について説明した(写真)。同社が23日の午前7時33分に配布開始した更新ファイルの影響で,主にWindows XPの最新版(Service Pack2対応)をインストールしたパソコンの動作が著しく遅くなり,事実上利用できなくなった。1時間半後の9時2分には問題となったファイルをサーバーから削除したが,その間に約17万のユーザーがダウンロードした。
記者会見の冒頭,同社最高財務責任者(CFO)のマヘンドラ・ネギ代表取締役が「人員リソースを100%使って対応する。すべての情報を伝えていく。エバ・チェン代表取締役社長は明後日の夕方,米国から日本入りする。代わりにお詫びする」と陳謝。技術面では黒木直樹上級セキュリティエキスパートが「パターン・ファイルのテストが完全ではなかった。この結果,問題のパターン・ファイルに更新したパソコンの負荷が100%もしくは100%近くまで上がってしまった」と経緯を説明した。
今回の障害はトレンドマイクロ側のチェック漏れによって起こった。
ユーザーのマシンを遠隔操作する不正プログラム,いわゆるbotの新たな手口に対処するため,トレンドマイクロが23日の更新ファイルで機能を追加したことが発端だった。botではその作者がウイルス対策ソフトの検出を逃れるために,何重もの圧縮をbot自身にかけることがある。この圧縮形式の一つとして「Ultra Protect」と呼ばれるものを使うbotが発見され,トレンドマイクロ側がこれに対処した。このうち,ウイルスをチェックするエンジン側は1月24日に公開した「7.5.0」でUltra Protectに対応。そして今回,ウイルスの特徴を記したパターン・ファイルの「2.594.00」を4月23日に公開したことでUltra Protectへ対応を完了させる手はずだった。
しかしトレンドマイクロは,(1)Windows XPのService Pack2環境でエンジンとパターン・ファイルのテストを実行せず,(2)他のOS環境ではUltra Protectに対応しない古いバージョンのエンジンでテストを実施,というミスをした。
障害が起こったのは,23日午前の該当時間にクライアントやサーバーのパソコンを起動し,自動や手動でアップデートしたユーザー。このうち,パソコンを起動し続けていたユーザーの中には,自動アップデートで以前の「2.592.00」(表示は2.596.00)や対策済みの「2.598.00」に更新。障害が回避されているケースがあるという。
なお,現在判明している対象製品は以下の通り。
(1)ウイルスバスター コーポレートエディション
(2)ServerProtectシリーズ
(3)Trend Micro Client/Server Security
(4)ウイルスバスター2005
(5)ウイルスバスター2004
これらの製品をインストールした,(1)Windows XPのService Pack2,(2)Windows Server 2003の環境下で障害が起きる。Windows Meなどその他のOSでも障害が起きている可能性があるが「障害がないか,極めて軽微と見られる」(マーケティング統括本部)。
今回の障害は,ウイルスバスターがOS上のファイルをUltraProtectによる圧縮が施されているかどうか判定するプログラムで発生した。特定の条件がそろったOS上のファイルへの検索が無限ループとなってしまうのである。Windows XPのService Pack2で,他のOSより大きな障害が起きる理由については「Windows XPのService Pack2には条件に該当するファイルが多い」(同)という。
ユーザーは,(1)トレンドマイクロのホームページ(http://www.trendmicro.co.jp/support/news.asp?id=677),(2)電話による問い合わせ(0120-538-108),(3)携帯電話経由のWebページによる情報提供(http://tmqa.jp/)などで対策を方法を調べたり問い合わせたりできる。具体的な対策としては,Windowsを機能制限付の「セーフモード」で起動。その後,トレンドマイクロが提供中の修正ツールで問題のパターン・ファイル「2.594.00」を削除する。
