【技術解説】トレンドマイクロは何を誤ったのか

2005/4/25

 トレンドマイクロが4月23日朝に配布したウイルスバスター用のウイルスパターンファイルが原因で新聞各社や交通機関などのPCやサーバに不具合が生じた問題の原因が分かってきた。トレンドマイクロが23日、24日に開催した説明会や記者会見によると「パターンファイルの作成ミスとテスト工程のミスという二重のミスがあった」(トレンドマイクロ)ことが問題の根本だ。

 個人向けの「ウイルスバスター2005/2004 インターネットセキュリティ」と、企業向けの「ウイルスバスター コーポレートエディション 6.5/5.58/5.5/5.06」「Trend Micro Client/Server Security」「ServerProtect」の各製品に問題を引き起こしたのは、トレンドマイクロが23日7時33分に配布したパターンファイル2.594.00。トレンドマイクロの24日の説明によると、このバージョンから新たに「Ultra Protect圧縮」と呼ばれる方法で圧縮されたファイルを、解凍してウイルスがないかどうかを検索するための機能を追加した。

会見するトレンドマイクロの執行役員 日本代表 大三川彰彦氏(右)と代表執行役CFOのマヘンドラ・ネギ氏

 Ultra Protect圧縮は広く使われている圧縮方法ではないが、最近広がっているBot(ボット)ワームの中にはさまざまな圧縮を繰り返すことで亜種を作り出す種類がある。トレンドマイクロが2.594.00に追加したのは、その内のUltra Protect圧縮で作成されたボットを探し出す機能だった。

 しかし、2.594.00のこの機能は、パターンファイルの作成ミスのために正常に動作しなかった。このミスによって「エントリーポイント番地の指定がなく、かつ1セッションによる構成されるファイルの検索」を行う場合、ウイルスバスターのスキャンエンジンが、Windows XP SP2とWindows Server 2003/2003 SP1の特定のファイルをUltra Protect圧縮されたボットではないかと常に誤認知する。スキャンエンジンは、この誤認知したファイルを解凍できないか何度も試みるが、もちろん解凍はできない。ウイルスバスターのリアルタイムスキャン機能と連動し、何度も解凍を試みるので無限ループとなり、CPUの使用率が100%になる。

 トレンドマイクロによると、2.594.00が誤認知するOSの特定のファイルは、Windows XP SP2とWindows Server 2003/2003 SP1以外のWindows OSも少数だが持っている。そのため2.594.00を導入することで、「影響が出ている可能性はある」という。Windows XP SP2とWindows Server 2003/2003 SP1はこの特定ファイルの数が多いために被害が大きくなった。

 また、@ITは既報で「トレンドマイクロによると、今回のパターンファイルでPCやサーバに不具合が起きるかどうかは、2.594.00をダウンロードした後にマシンを再起動したかどうかが鍵になる」としたが、24日のトレンドマイクロの説明によると、再起動をしなくても、2.594.00が導入されるだけでマシンが不調になるようだ。そのため、コーポレートエディションのサーバが2.594.00をダウンロードした後に不調になり、正常なパターンファイルの2.596.00をダウンロードできていないケースも考えられる。

「XP SP2環境ではテストがまったくなかった」

 パターンファイルのテスト工程にも問題があった。トレンドマイクロはフィリピン・マニラの研究所でパターンファイルを作成し、テスト、全世界への配布を行なっているが、2.594.00は人員のミスによって「Windows XP SP2の環境ではテストがまったく行なわれなかった」(同社 上級セキュリティエキスパート 黒木直樹氏)。そのため、問題を起こしたUltra Protect圧縮を解凍、検索する機能のミスを見落としてしまった。

 また、ウイルスを検索するスキャンエンジンについても現行製品で使われている7.5xではなく、Ultra Protect圧縮未対応の7.1、7.0でテストを行なっていた。そのためほとんどのユーザーが使っている7.5xの環境で発生する障害を発見できなかった。トレンドマイクロによると、Windows Server 2003/2003 SP1に対しては2.594.00のテストを行なったということだが、スキャンエンジンの環境が現行と異なったためにミスを発見できなかったようだ。

 トレンドマイクロは今後の対策として、パターンファイル作成やテスト工程の二重チェック体制の整備、開発エンジニアの個人スキルに依存していたプロセスの見直しと、チェックプロセスの自動化などを行なう。テストに使用するスクリプトの再チェックも行い、エンジニアのミスをなくすことに務める。

 トレンドマイクロによると、問題を引き起こす2.594.00をダウンロードしたユーザーは国内だけで約17万件。トレンドマイクロとパートナー各社の確認では、企業ユーザーのうち、61社で被害が出ている。トレンドマイクロは、2.594.00を取り除くためのツールをWebサイトで配布。ツールを収めたCD-ROMを20万枚用意し、顧客に配布する。「24日中に個人、企業のユーザーに電子メールで問題発生を告知する。100人を全国に配置して、問題が発生した企業に対してオンサイトで向かっていけるようにする」(同社 執行役員 日本代表 大三川彰彦氏)。

 これら対策にかかるコストは、「現段階で数億円の費用が考えられる」(同社 代表取締役CFO マヘンドラ・ネギ氏)。だが、「費用のことは考えない。トレンドマイクロの100%のリソースを使って対策にあたる」(ネギ氏)としている。

(@IT 垣内郁栄)

[関連リンク]
トレンドマイクロのサポート情報

[関連記事]
ウイルスバスター原因でシステムダウン、月曜朝は注意を (@ITNews)
対マイクロソフトは値段勝負? トレンドマイクロ (@ITNews)
新体制となったトレンドマイクロ、今後5年の戦略を読む (@ITNews)
フィッシング詐欺に対応した新ウイルスバスターができること (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)