トレンドマイクロ問題の原因を振り返る

　トレンドマイクロのウイルス対策ソフト問題は、多くのユーザーに影響を与えただけではなく、ソフトウェアの開発体制のあり方についても一石を投じた。結局、同社のどこに原因があったのだろうか。

　この問題は、同社が23日朝に公開したウイルス対策ソフトのパターンファイル「2.594.00」をダウンロードしたPCもしくはサーバのCPU使用率が100％となり、処理が著しく遅くなって実質的に利用不能となるというものだ（関連記事）。同社によれば、26日午後2時までに個人・法人を合わせて約35万件の問い合わせがあり、652社で被害が起きていることを確認しているという。

　まず、不具合が発生するのは同社の検索エンジン「7.51」または「7.50」を使った製品をインストールしたPCもしくはサーバに2.594.00をインストールした場合だ。具体的にはウイルスバスター2005／2004、ウイルスバスター コーポレートエディション、Trend Micro Client/Server SecurityまたはServer Protectを使っているユーザーが対象となる。

　7.50以上の検索エンジンには、RBOTと呼ばれるトロイの木馬型プログラムの検出率を高めるために、Ultra Protectと呼ばれる圧縮形式のファイルを判定し、解凍する機能が追加されていた。そして2.594.00にはUltra Protectファイルを判定、解凍する情報が書き込まれていた。しかし、この処理方法にミスがあったことから不具合が起きた。

　具体的には、次の2つの条件を満たすプログラムファイルを検出すると問題が起きた。

• プログラムのどこから処理を始めるのかを示すエントリポイントが記載されていないフォーマットのもの。主にDLL（Dynamic Link Library）と呼ばれるファイルがこれにあたる。
• プログラムコードが1セクションしかないもの。

　2.594.00では上記の条件を満たすファイルを発見すると、圧縮の有無を判定しようとして失敗し、無限に同じことを繰り返すようになる。このため、マシンのCPU使用率が100％となってしまう。

　問題は、Windows XP Service Pack 2やWindows Server 2003、Windows Server 2003 Service Pack 1には上記の2つの条件を満たしたファイルが多く含まれていることだ。これらのOSがログオン時などに使用するDLLファイルの一部が上記条件に該当してしまい、再起動した場合などにマシンが実質的に動かなくなった。同社によれば、Windows MeとOffice XPにも条件に該当するファイルが1つずつ存在するため、これらの環境でも不具合が起きる可能性があるという。

「ダブルチェックに対する認識が甘かった」

　さらに既報のとおり、パターンファイル配布時のダブルチェック体制が整っていなかったことが被害を生んだ。トレンドマイクロ執行役員日本代表の大三川彰彦氏は「我々のダブルチェックに対する認識が甘かった」と話す。同氏によれば、パターンファイルの検証者は、検証が終わった後にまとめてチェックリストに記入していたという。さらに確認者はチェックリストを確認するだけだった。このため、テストがWindows XP Service Pack 2環境において行われていなかったこと、テストに古いバージョンの検索エンジンである「7.0.0」を使っていたことに気付かないまま、パターンファイルを配布してしまった。

　再発を防ぐため、同社ではパターンファイルのチェック体制を全面的に見直す（関連記事）。すべての検証項目ごとにダブルチェックを行うほか、検証プロセスを定期的に監査する。さらにプロセスを自動化することで人為的な操作ミスを最小限に抑える。「これまでは人海戦術で検証をしていた部分もあったが、今後は検証システムへの投資を増やしていく」（同社上級セキュリティエキスパートの黒木直樹氏）

　また、ユーザーへの情報伝達体制も見直す。トレンドマイクロでは23日朝9時2分時点で問題を確認していたが、同社のサイトのトップページに告知が出たのは午後3時のことだった。また、当初はコールセンターの電話番号が表示されておらず、一部のユーザーから不満が出ていた。これを受け、同社では今後、メールやFAX、携帯電話メール、携帯電話用サイトなどを通じてパターンファイルなどの更新を通知するほか、問題が起きた場合には迅速に連絡するようにするとしている。