2005年04月24日 - ウイルスバスター(トレンドマイクロ社)の不具合・障害事件
何故今回に限って、これだけ注目されるのか
JRのような大企業や、またマスコミ内部でのトラブルが起きたために、従来あまり取り上げられなかったこの手の問題が一気に湧いたような感がある。
トレンドマイクロに限らず、これ以上にシリアスな問題がアンチウイルスソフトの更新によって生じたとしても、従来は新聞ネタになるなんてありえなかったのだ。
今回のは割と深刻な不具合だったが、永久にWindows OSが起動できなくなるとか、何かのファイルを削除されデータを消失するなどではなかったのが、不幸中の幸いだったような。
今回のトレンドマイクロの不具合問題に関しては、IT Mediaがなかなかいい感じの記事を書いている。
『「アンチウイルスソフトを入れましょう!」はある部分で「常識」とされていたのに』、はいい視点の議論だと思う。
しかし現実にはスタンドアロン機や何らかのシステムの一部として機能するサーバー類では、アンチウイルスソフトを導入しない例もある。ウイルスなどのマルウェアに感染する可能性が限りなく低い場合、余計な保守作業や「何か」が起きるリスクを負うのは人的・予算的コストが見合わず、アンチウイルスソフトを導入しないのがベターと考えての事だ。
またパターンファイルの品質管理についての言及は、常日頃から疑問を感じていた点だ)。
トレンドマイクロは4月23日、同日午前7時30分ころに公開された同社ウイルス対策製品向けの「ウイルスパターンファイル 2.594.00」に問題があり、アップデートを行うとCPUの使用率が100%になり、PCの動作が極端に遅くなるトラブルが発生したことを明らかにした。
この問題が発生するのは、Windows XP Service Pack 2およびWindows Server 2003上で動作している「ウイルスバスター」「ウイルスバスター コーポレートエディション」「Trend Micro Client/Server Security」および「ServerProtect」の各製品。バージョン2.594.00のパターンファイルを適用するとCPUの負荷が高まり、動作が重くなったり、再起動を求められてもPCを起動できなくなるなどの障害が発生する。
複数の報道によると、このパターンファイルによるトラブルが原因となり、朝日新聞社や共同通信社、JR東日本などの企業でPCに障害が発生し、業務に支障をきたしたという。
セキュリティ対策の「基本事項」の1つに、「ウイルス対策ソフトを導入し、常に最新のパターンファイルにアップデートすること」が挙げられる。だが今回のトラブルでは、このルールを徹底し、ウイルス対策に取り組んでいた企業で障害が起こる結果となった。本来PCを守るはずのパターンファイルが、かえってダメージを与えたことになる。
トレンドマイクロ、PCを守るはずのパターンファイルに不具合(高橋睦美,ITmedia)
JRやマスコミなどの企業活動やインフラだけではなく、選挙などの重要なイベントにも支障をきたしたようだ。
24日に市長・市議選の投開票がある富山市では、期日前投票所のうち6カ所で一時、パソコン上での有権者の本人確認ができなくなった。岐阜県各務原市選管でも、24日の市長選の準備が約4時間にわたってストップした。大阪市営地下鉄では23日午前8時過ぎ、各駅に電車の運行状況などを伝えるコンピューターが起動しなくなり、無線連絡などで代行した。
「システム障害:トレンドマイクロのウイルスソフトが原因(MSN-Mainichi INTERACTIVE)(http://www.mainichi-msn.co.jp/today/news/20050424k0000m040076000c.html)」
その他
ウイルスバスター、パターンファイル更新でCPU使用率100%になるトラブル(INTERNET Watch)
「週明けに被害拡大懸念も ウイルス対策ソフト不具合(Sankei Web)
トレンドマイクロ、ウイルス対策ソフトの更新ファイルに不具合(CNET Japan)
ちなみに以前セキュリティホールmemoさんで紹介してた方法を使い、問題のパターン・ファイル「2.594.00」を手動ダウンロードしようとしたものの、駄目でしたが。
http://www.trendmicro.com/ftp/products/pattern/lpt594.zip
次に、復旧作業のためインストールするよう推奨されてる新しいパターンファイル「2.596.00」をダウンロードできました。
http://www.trendmicro.com/ftp/products/pattern/lpt596.zip
原因はテストを怠った、トレンドマイクロの品質管理の問題か
アンチウイルスソフトのパターンファイル(DATファイル、ウイルス定義ファイル)やエンジンのアップデート更新時に、何らかの不具合が起きるのはよくある話なんだけど。
基本的にアンチウイルスソフトの更新とその不具合は、大きく二つに大別されるような感じがする。
- パターンファイル(DATファイル、ウイルス定義ファイル)の更新
- 日常的によくある。誤検出のために安全なファイルを隔離してしまったりする例はよく報告される。
- 日常的によくある。誤検出のために安全なファイルを隔離してしまったりする例はよく報告される。
- ウイルス検索エンジンのアップデート、機能追加
- OSやアプリケーション、ブラウザの動作に深刻な不具合を生じるなどの、重篤な例が起きる。
- OSやアプリケーション、ブラウザの動作に深刻な不具合を生じるなどの、重篤な例が起きる。
パターン・ファイル「2.594.00」では機能の更新を含むものであったようだ。ならば相応にテストしてもらいたいのだが、トレンドマイクロではこれを怠ったようだ。
パターンファイル単体でなんでこんな不具合が、と思う者も多いとは思われるが。この件で面白いブログを見つけたので紹介する。
え?今は「パターンファイル=単なるTXTファイルのようなもの」ではなく、検索エンジンっぽいファイルも一緒に配布してんの!?
3年位前にトレンドの営業さん言ってたじゃん「パターンファイルは単なるTXTファイルなので不具合の発生はありえません」って!!ヽ(`Д´)ノ
「ウイルスバスター」ズサンさ浮き彫りに!!(ぬるいSEの生態)
記者会見のドタバタぶりがどうも情けない。
会見当初、大三川代表は「テストはしていたはず。しかしこのような事態になったからには、それが不十分だったのかもしれない」と説明。だが、「不十分とはどういうことか」との質問に答えられず、いったん会見は中断。その後「個別のコードについてのテストはしたものの、パターン・ファイル全体のテストを怠った」と説明した。
トレンドマイクロによると、通常は同社のフィリピン・ラボでパターン・ファイルを作成すると、新たに加わったパターン単体のテストや、パターン・ファイル全体のテストを、複数のOS上で繰り返し、安全であることを確認した上で、ユーザーに配布する。ところが、23日午前に配信したパターン・ファイル「2.594.00」は、なぜかテストの一部が省略されてしまった。
「2.594.00」には、新たにUltra Protectと呼ぶ圧縮形式のファイルを検査する機能が追加されている。トレンドマイクロは「この機能にバグが存在した可能性が高い」(黒木 直樹上級セキュリティエキスパート)とみている。Windows XP Service Pack2とWindows Server2003には、OSの一部としてUltra Protectを使ったファイルが標準で含まれており、それを発見したウイルスバスターが検査を試み、無限ループに陥る。結果としてCPU負荷が急増してしまう。
【続報】トレンドマイクロ事件、7時間超のロングラン会見も「テスト漏れ原因は不明」(IT Pro)
サードパーティ製品への誤検出などの不具合との大きな違い
今回何が特に引っかかったのはですね。従来よくありがちな誤検出なり不具合は、サードパーティ製品(Microsoftなど以外のメーカーの製品)の無害なファイルを有害なものとして検出するミスなんですが。これは仕方ないとは思うよ。大体テストにしても、何百何千何万ものサードパーティ製品をインストールしてわざわざテストするのは、事実上不可能だ。
しかし今回生じた問題は、普通にテストしてれば必ず事前に判明したはずのトラブルであり。その点はどうも情けないと言うか、手抜き感が。
トレンドマイクロが抱える「事情」
トレンドマイクロは今年の2月より、ウイルスパターンファイルを提供する間隔を週一回程度からほぼ毎日にしたのだが。これはウイルスパターンファイルの更新間隔を短縮し、これまで以上にマルウェアの脅威に迅速に対策するためなのだろうけど。人手不足になったりはしないのかなー。
McAFEE(マカフィー)の対応に対しての対抗意識っぽいように思えたりはするんだけど。
ウイルスパターンファイルの更新サイクルの改善をいたします。
(基本的に、火〜土の毎日 (日本時間))
ウイルスパターンファイルの更新サイクル変更のお知らせ(トレンドマイクロ)
トレンドマイクロは21日、同社製品向けウイルス定義ファイルの更新頻度を、従来の週1回から、米国時間の月曜日から金曜日の毎日に変更した。日本時間では、火曜日から土曜日となる。
更新サイクルが変わるのは、「ウイルスパターンファイル」のみ。「ネットワークウイルスパターンファイル」「ウイルス感染自動修復パターンファイル」「スパイウェアパターンファイル」」「迷惑メール判定パターンファイル」「セキュリティ診断パターンファイル」の更新頻度は変更しない。
なお、マカフィーでも、25日からウイルス定義ファイルの配信を土日、祝祭日を除く毎日実施すると発表している。
トレンドマイクロもウイルス定義ファイルの更新を毎日に(INTERNET Watch)
いやはや、2時間ですか・・・・・・過酷ですね。
もう一杯一杯なんではないでしょうか、何かが。
トレンドマイクロは、新種ウイルスが登場した場合、プレミアム契約を結んだ顧客に対して、2時間以内に対策を提供することを約束している。2003年の平均では、1時間以内に96%のウイルスに対応、1時間半以内にすべてのウイルスに対応したという。また、同社ではアラートが発令された場合、45分でそのウイルスに対応したソリューションの提供を社内目標に掲げており、早急な対応を目指している。
ウイルス対策最前線 - トレンドマイクロを支える技術集団「TrendLabs」(MYCOM PC WEB)
不具合修復方法の謎
今回の不具合を修正するにあたり、セーフモードで起動しようにも駄目だったとの報告例があるようだ。
(確証が今ひとつなので、この場では直接紹介はしないでおく)
起動FDやCDでの修復などでの対応を、トレンドマイクロ社からやってもらえれば良さそうな。
「自動回復ディスク」の無償リリース、みたいな。
って本当に修復CDを作って配布するらしい。自動修復CDとかじゃなくって、修復ツールを詰めただけのCD-ROMなんだけど。ネットに接続しダウンロードできないユーザーが対象なんだろうか。
ただ不審な印象が湧いたんだが。
(記事の数字を鵜呑みにするのは危険な気もするんだけど)
17万人以上の被害者が存在するのは確実なんだが、この「17万人」なる数字は一体どのようにして算出したんだろうか。
国内で「ウイルスバスター」を搭載しているコンピューターは、企業約8万社向け約650万台、個人向け約350万台で、あわせて1000万台程度とみられる。同社は問題の更新ファイルを取り込んだパソコンを国内で17万台と推定。1週間以内に修復用CDを対象客に配布するほか、5月8日まで24時間態勢で電話対応する。
「きょうトラブル拡大も、トレンドマイクロのウイルス対策ソフト被害(http://www.business-i.jp/news/sou-page/news/art-20050424213505-TAXYKOPXLE.nwc)」
ITMediaによれば、都内では不具合解消CD-ROMがもう配布されているんだけど。こちらは数字は20万、まぁあまり変わらないな。
同社日本代表の大三川彰彦執行役員は24日の会見で、「対策用CD-ROMは20万枚生産する。
CD-ROMには、「TMRMTool.exe」というプログラムが入っている。問題が発生したPCをセーフモードで起動し、CDドライブに挿入すると、プログラムが問題のファイルを検索し、見つけ次第削除する。
「ウイルスバスター」不具合解消CD-ROM、都内で配布開始(ITmedia)
今回の不具合の兆候?があった説
OK Webのこんな投稿が某フォーラムにて紹介されていた。丸ごと転載は失礼な気もしたんだけど、とりあえず紹介する。
昨日からの、ウィルスバスターの更新について、まとめてみました。
1.メインプログラムの更新(再起動要求)と
ネットワークウィルスパターンの更新(更新の繰り返しのトラブル発生・対応済み)(21日夕方頃から発生、13時までに対処方法を発表)
2.スパイウェアパターンファイルの更新・手動検索用
3.ファイアウォールドライバの更新(再起動要求)
4.ネットワークウィルスパターンの更新
今日
1.ウィルスパターン594の更新(7時30分更新)とスパイウェアパターン(リアルタイム検索)の更新
2.ウィルスパターン596の更新(10時50分更新)
ウイルスバスターのアップデートをしたら・・・(OKWeb)
うちの職場ではSymantec製品を導入してて、自宅のウイルスバスターを入れてたノートパソコンはたまたま数日間ほど分解中であったため、体験できなかったと言うか被害に遭わなかったんだけど。
どうも今回の件には、予兆のようなものがあったらしい。
(ちなみに昨日テストしようとし、手動で594またはそれ以前のパターンのダウンロードを試みたが、消されていて試せなかった)
終息しつつある、今回の不具合(2005-4-26)
4月26日現在の状況は、こんな感じ。
ウイルスパターンファイル2.594.00(日本時間:午前7:33頃公開)へのアップデートにおける、コンピュータのCPUが100%になる現象に関して
株価は暴落中。
「ウイルスバスター」の不具合を受け、4月25日の東京株式市場ではトレンドマイクロの株価が大幅に反落した。
一時は前週末比460円安となる3820円まで下げ、年初来安値を更新した。終値は同180円安の4100円まで戻したが、4.21%のマイナスはこの日の東証一部値下がり率で7位だった。
不具合嫌気でトレンドマイクロ大幅安(ITmedia)
チェンCEOの会見は、どうもなぁ。594円な話は突飛すぎて「単なるポーズ」に思えてしまうし。
トレンドマイクロのウイルス対策ソフトウェアのパターンファイルに不具合があった問題で、トレンドマイクロ代表取締役社長兼CEOのエバ・チェン氏が4月26日、都内で謝罪会見を行った。
今回の事態を受けて、チェン氏は「被害を受けたPCやサーバがすべて復旧するまで、私の給料を594円にする」と宣言した。これは、問題を起こしたパターンファイルの番号「2.594.00」に合わせたもので、「今回の教訓を忘れないため」とチェン氏は説明する。
「給料を594円にして責任を取る」--トレンドマイクロCEOが謝罪会見(CNET Japan)
も一つ。
「【続々報】「もう一度チャンスをください」とトレンドマイクロCEOが謝罪会見(IT Pro)
もう何年もウイルスバスターは利用してるため、多少偏見は入ってるけど。今回のトレンドマイクロの対応は、少なくともベストではない。先日の会見のドタバタはアレだった。
賠償についてもニュースポータル上ではする・しない説それぞれあり、結局トレンドマイクロ社のサイト上では言及されていない。
(Sankei Webにもっと詳しく言及してるニュースがあったはずだが、見つけられなかった)
一方で、トレンドマイクロ社は、被害を受けた企業への損害賠償について、「現時点では補償はしない」として、これまでの「賠償を検討していく」とした方針を変更している。
「トレンドマイクロ社製ソフトの不具合を原因とするシステム障害などの影響は652の企業に(Yahoo! Japan)(http://headlines.yahoo.co.jp/videonews/fnn/20050427/20050427-00000048-fnn-soci.html)」
と言いますか、使用許諾契約書(EURA)にこのような文面があり、予め自社製品の不具合についての賠償は否定してるし。
お客様が期待する成果を得るためのソフトウェアプログラム(本ソフトウェアを含みますがこれに限られません)の選択、導入、使用および使用結果につきましては、お客様の責任とさせていただきます。本ソフトウェアもしくはドキュメントの使用、サポートサービスならびに第4条3項および4項によりサポートサービスの提供を受けられないことに起因してお客様またはその他の第三者に生じた結果的損害、付随的損害および逸失利益に関してトレンドマイクロ株式会社は一切の責任を負いません。
ウイルスバスター2005 インターネット セキュリティ 使用許諾契約書について(トレンドマイクロ)
顧客離れを防ぐ目的で、更新期限の延長などのサービスぐらいはやってもバチは当たらないような気がする。
(自分は直接の被害に遭ってないし、お金なんていらないけど)
対策CD-ROMの製造数17万(もしくは20万)は、被害の規模を把握してないのか、もしくは「自身で何とか解決できないユーザーの数」なのかは知らないけど。普通の企業なら、登録ユーザー全員に速やかに郵送で送るべきではないのかなぁ。
それにより大分印象が変わってくるものだろうし。
どうも経営面でのリスクマネージメントが、うまくないような・・・・・・・
2005-4-30追記事項
mashさんより紹介された、トレンドマイクロの対応。長いので一部を省略する。
個人のお客様への対応
(1)契約期間を無償で1ヶ月延長
(2)復旧費用の実費を負担(1シリアルあたり8,500円を上限とします)
対象: コンピュータを復旧するために、専門業者等に依頼し、既に作業、支払いを終えているお客様
(3)契約期間を無償で3ヶ月延長
対象: お客様ご自身でコンピュータの復旧を行い、領収書等の証明をお持ちでないお客様
法人のお客様への対応
契約期間を無償で1ヶ月延長
ウイルスパターンファイルの問題に関するお客様への対応について(トレンドマイクロ)
トレンドマイクロには過去に20数回は検体を提出したり、不具合報告しただけあって。ムチャクチャ愛着があるんだけど。
だから多少「ぬるく」書いておく。
パターンファイルの更新期限延長は、妥当な線と思われます。
ですが個人ユーザー向けの(2)と(3)が、どうも違和感が。
Luca日記を見てる方々には「相場」とか「何をどうされるのか」がわからないだろうから、説明しておく。
もしもこれをショップに持ち込んで何とかしていただいたとしたらば、大体は数千円から2万円程度になる。
(Lucaさんは大体は現金じゃなくって、一升瓶一本とおかず、これ位が相場なんだけど)
ほとんどの場合は個別のクライアントごとに細かく調査して復旧作業、つまりは丁寧にパターンファイルを削除して、なんてのはどうかなぁ。
大抵はリカバリー操作をやられて、いっちょあがりだし。
(Lucaさんなら、データファイルのバックアップは必ずやるが。どこかのショップとかメーカーの対応では、丸ごと初期化が普通なのだよ)
これらの損害を金額に換算するのは、無理がある話なんだけど、それはこの場では置いておく。
と言うかね。
(1)(2)(3)の差は、何をもって算出され判断されるんだろうか?
更新期間の延長やキャッシュバックによる補償額が、例え高額な金額でなかったとしても、それが同額ならば納得がいくんだが。
更に、法人向けの「無償で1ヶ月延長」が引っかかる。
チェンCEOは「各々のビジネスチャンスを損なって申し訳ありません」みたいな会見をしたんだけど。
「ミッションクリティカル(業務が落ちたらシャレになりませんみたいとかの意味)な業務のダウンタイムは、年間5分が相場」とWindows Server Worldの記事だか広告に書かれてたんですが。
業務の停滞は、ビジネスチャンスの喪失のみではなく、顧客満足度や信頼に直結するのが現代社会のありようなのだし。
一ヶ月間の延長は実機一台辺りとしての金額としても、損害を十分補えるとは思えない
更には、個人向けの賠償額との開きやギャップが大きすぎるような気がする。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2005-04-24 ウイルスバスター(トレンドマイクロ)の不具合・障害事件(http://d.hatena.ne.jp/LucaLuca/20050424)を修正・加筆し移転したものです。
