[画像のクリックで拡大表示]

 2005年4月23日,土曜日の朝7時半過ぎ。企業や官公庁,自宅など日本中の様々なユーザーのパソコンが原因不明のトラブルに陥り始めた。なぜかパソコンの画面が反応しなくなったのだ。

 原因となったのは,トレンドマイクロのウイルス対策ソフト「ウイルスバスター」とそのシリーズ。Windows XPのService Pack2を適用したパソコンでウイルスバスターを利用しているユーザーが被害に遭った。トレンドマイクロが7時33分に配布したウイルス対策用の新しいパターン・ファイルにバグが混入。プロセサの使用率がほぼ100%となり,パソコンの動作が極端に重くなったのだ。トレンドマイクロは1時間半後の9時2分に問題となったファイルをサーバーから削除したが,その間に約17万のユーザーがダウンロードしてしまった。

1回のダウンロードで1社丸ごとダウンも

 今回の問題に関しては,開発元のトレンドマイクロに非があるのは明らかだ。その点は同社が障害発覚の当日や翌日などに開いた記者会見で認めており,情報を公開している(関連記事,写真)。パターン・ファイルの作成ミスによるバグの作りこみと,テスト漏れという2重,3重の問題が重なってしまった(トレンドマイクロの説明)。

トレンドマイクロのエバ・チェン社長
写真●4月26日に大規模障害の謝罪会見を開いたトレンドマイクロ(左はエバ・チェン代表取締役社長兼CEO,右は大三川彰彦・執行役員日本代表)

 障害の規模については「詳しい数字はつかみきれていないがパターン・ファイルが17万件ダウンロードされ,当社が直接やり取りしている企業のうち122社で障害が起こった」(トレンドマイクロ)。ただ,トレンドマイクロの不具合は,企業や官公庁の多くが抱えるシステム管理の問題を浮き彫りにした。

 その一つが単一のソフトウエアに頼ることのリスク。二つめがクライアント・パソコンの管理体制の手薄さだった。企業ユーザーの多くは社内にパターン・ファイル配布用のサーバーを設置。パターン・ファイルをサーバーに一度ダウンロードし,そのファイルを各クライアント・パソコンから取りに行くというのが一般的だった。つまり,1件のダウンロードで社内のクライアント・パソコンを全滅させてしまうことも起こり得るのだ。

「もし平日だったら大変なことに」

 トレンドマイクロの事故は,土曜日の朝に発生したため社内のパソコンが全滅したというケースはなかった。しかし,朝日新聞社や共同通信社,JR東日本や東京都など土曜日も営業している企業や官公庁で被害が報告された。

 このうち東京都は3万台のパソコンのうち,2万4000台でトレンドマイクロのウイルス対策ソフトを使っていた。残りの6000台も,現場レベルでトレンドマイクロを採用している可能性があるという。また朝日新聞社や共同通信社は,ほぼ全社でトレンドマイクロを採用していた。

 東京都が影響を受けたのは,主に都の取引市場や水族館といった土曜日も営業している施設のクライアント・パソコン。一部,庁舎に休日出勤していた職員のパソコンも被害を受けた。東京都総務局IT推進室の樋口幸弘情報システム担当課長は,「これが平日だったら本当に大変だった。トレンドマイクロにはウイルスをバラまかれたようなものだ」と憤りを隠さない。

 共同通信社は,現場の記者から送られてきた一般記事の原稿をデスクが修正・編集するためのパソコンが被害に遭った。当時,全国で300台のパソコンがネットワークにつながっており,このうち100台を実際にユーザーが利用していた。

 このパソコンはサーバーに置いた記事の送信を指示する機能も持っているため,全国の新聞社への一般記事の配信が午前8時から午前10時半ごろまで約2時間半停止することとなった。最終的には午前11時前後に復旧した。共同通信社システム局の須田信夫局次長は,「土曜夕刊用の記事配信にはなんとか間に合った。これが平日の朝刊や夕刊向けの編集や配信で忙しいときだったら大変なことになっていた」と当時を振り返る。

 このほか,JR東日本は台数的には約800台と最大規模の被害となった。主に旅行業務で使っているパソコンが影響を受けた。朝日新聞社は全社約1万1000台のパソコンのうち,約410台が使いづらい状況に陥った。

それでもトレンドを使い続ける

 このように甚大な被害を受けたり危機にさらされた企業や官公庁のユーザーも,今のところはトレンドマイクロとの取引を見直す動きはない。「今回の問題は1回め。続くようであれば契約の見直しを考える」(東京都の樋口情報システム担当課長),「正直言ってトレンドマイクロとの契約を打ち切ることを検討した」(共同通信社の須田局次長)と,悩みながらもトレンドマイクロ製品を使い続ける選択をしている。朝日新聞社やJR東日本も,現状はトレンドマイクロの製品を使い続けている。

 その理由の一つは製品リプレースの手間。「2万台以上の端末のウイルス対策ソフトを入れ替えるのは極めて大変な作業だ」(東京都の樋口情報システム担当課長)。また「他社製品に入れ替えても,同じことが起こる可能性がまったくゼロとは言い切れない」(共同通信社の須田局次長)という事情もある。

自己防衛策を打ち出す被害ユーザー

 とはいえ被害に遭ったユーザーは,今回の事故を機に様々な自衛手段を打ち始めている。例えば共同通信社は,ウイルス対策ソフトのパターン・ファイルの更新頻度を見直した。

 同社は,従来はトレンドマイクロのサーバーにあるパターン・ファイルの更新を1時間ごとにチェックし,自社サーバーに自動で取り込んでいた。トレンドマイクロはパターン・ファイルを1日1回更新していたが,緊急性が高いウイルスが発生した時は随時パターン・ファイルを更新しているからだ。

 これを1日1回とし,更新の時間も午後2時とした。「早朝や深夜ではスタッフの人手が薄いため,障害時の対処がしづらい。午後2時であれば夕刊向けの編集や配信作業もひと段落しており,人手での緊急対応もしやすい」(須田局次長)と考えた。緊急のウイルスが発生した際は「トレンドマイクロからの連絡などを元に,パターン・ファイルを手動で更新する」(同)と言う。

“未更新”のパソコンを用意

 さらに,問題が起こった際に必ず使えるパソコンを一定の台数用意しておくという対策も講じた。これはウイルス対策ソフトへの備えにとどまらない。「端末のソフトを一斉に更新すれば,問題が一度に顕在化する」(須田局次長)との教訓を今回の事故から得て,ウイルス対策のパターン・ファイルだけでなく,OSの「Windows Update」,同社が自社開発したアプリケーションなどあらゆる自動更新を止めたパソコンを用意。更新によって一斉に問題が発生する危険性を回避することにした。緊急時には,これらの正常に稼働するパソコンを起動して業務を継続する。

 一方,東京都は連絡体制を再チェックした。従来,休日や夜間はセンター側のサーバー監視が中心だったが「出先機関のユーザーにまで,システム担当者へ直接かけることができる電話番号を周知した」(樋口情報システム担当課長)。またJR東日本は,「トレンドマイクロとの連絡体制を見直した」と言う。

基幹業務のパソコンを見直せ

 ただ,こうした自衛策では,単一のソフトウエアに依存する危険性は完全には払拭できない。より安全な策としては,パソコンのウイルス対策ソフトを複数のベンダーにすることが挙げられるだろう。例えば2社の製品を使えば,最悪でも半分のパソコンは使い続けられる。もっとも,ライセンス料金のディスカウント率が悪くなったり,社内に置く管理用のサーバーも2重に管理する必要が出てくる。ネットワークのセグメントごとに管理用のサーバーを置くとしたら,大変な管理コストとなるだろう。

 しかし業務によっては,システムやネットワーク停止の被害は計り知れない。どうしても止められない業務で使うパソコンについては,異なるベンダーのウイルス対策ソフトの導入を検討することも必要だ。少なくとも共同通信社のように,必ず動く緊急用のパソコンを用意しておくべきではないか。

 トレンドマイクロの障害で被害を受けなかったユーザーも,パソコン停止のリスクを見極めて自社のウイルス対策を考え直す機会とすべきだろう。

(市嶋 洋平=日経コミュニケーション

【緊急連載 今本当に必要なセキュリティ対策】特集ページはこちらをご覧下さい。

【緊急連載 今本当に必要なセキュリティ対策】記事一覧

●(1) カカクコムが浮き彫りにした商用Webサイトの油断
●(2) 迷惑メール対策は総力戦,皆が協力しないともう止められない
●(3) IP電話に襲いかかる“スパム”や盗聴
●(4) トレンド問題が残した教訓──単一ソフトに依存する危険性
●(5) 「持ち出せなければ紛失もない」ノートPC/携帯電話の新潮流