パスワードを忘れた? アカウント作成
10034 story

ウイルスバスターの定義ファイル更新で、CPU使用率が100%になる不具合 301

ストーリー by Acanthopanax
人騒がせな 部門より

nobuo 曰く、 "asahi.comの記事NNIKKEI NETの記事共同通信の記事などによると、共同通信社日本経済新聞社信濃毎日新聞社JR東日本などでパソコンの動作が極端に遅くなる現象が発生したとのことだ。
すわ!新種のウイルスか?と思われたのだが、どうやらウイルスバスターのパターンファイル594 (日本時間 AM7:30頃公開) にアップデートすると CPU 使用率が 100% になるという不具合が原因だったようだ。トレンドマイクロは 11 時ごろパターンファイル 596 をリリース、594 を 596 にする修正方法も 14 時ごろに Web サイトで公開している。
実はタレコミ人の周りからも「突然パソコンが遅くなったがどうしたらいいのか?」という質問が数件寄せられたため、新種のウイルスか?と少し調査をしていたのだが……新種のウイルスじゃなくて良かった、とでも思っておくことにしましょう。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 同業他社の対応予想 (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2005年04月23日 20時13分 (#727016)
    W32.Baster.Worm

    発見日: 2005年4月23日 (日本時間)
    最終更新日: 2005年4月23日 14:13 (日本時間)

    危険度5 (深刻)

    W32.Baster.Wormは、ウィルス対策ソフトの振りをして感染し、Windows XP SP2を標的としてCPUに過負荷をかけシステムを不安定にしようとします。

    被害状況
    ・感染台数: 100000以上
    ・報告件数: 100以上
    ・地域感染度: 高
    ・対処レベル: 中
    ・駆除: 容易

    ダメージ
    発症のタイミング: 時限装置の値が594になったとき(594以降の発症タイミングに関しては現在解析中です)
    発病症状: システムが不安定になり、異常終了する可能性があります。

    感染力
    ・ウィルス対策ソフトをインストールしていないマシンに対して、広告媒体などを通して感染を試みます。

    駆除方法
    「コントロールパネル」から「プログラムの追加と削除」を選択して、そこから『ウィルスバスター』を選択して「削除と変更」をクリックして下さい。
    • by fukapon (4131) on 2005年04月23日 22時41分 (#727069)

       BusterではなくBasterにしたあたりも芸が細かくて、うまいですね。

       以前どこかで読んだ記憶があるのですが、ウィルスの名前は、作者が期待していそうな「そのものずばり」にはしないんですってね。 それでは作者を喜ばせてしまうからって。

       ホントにウィルス扱いしてくれたら、個人的にはとってもうれしい、かも。

      親コメント
  • 該当製品がWindows XP SP2だけしか書いていないので、納得いきません。
    Windows XP SP1やWindows 2000など他のOSでも同じ現象が起きていると思いますが、如何でしょうか?
    --
    Super Souya
    • by Anonymous Coward on 2005年04月23日 17時03分 (#726923)
      今使ってるPCはWin2kなんですが、影響なかったですね。
      参考までに。
      親コメント
    • by Anonymous Coward on 2005年04月23日 17時32分 (#726937)
      うちの職場では色々なバージョンのWindowsが動いていますが 障害がでたのはXP SP2だけでしたよ。
      親コメント
    • by Anonymous Coward on 2005年04月24日 13時59分 (#727330)
      XP SP2に含まれるファイルの誤検出による問題なのだから、たとえば2000とXP SP2をデュアルブートしている環境で2000からXP SP2のファイルにアクセスできれば同じ問題が起きると思うんですが。。。
      親コメント
    • サポート情報 [trendmicro.co.jp]が更新されていて Windows 2003も対象プラットフォームになってますね。

      2005年4月23日 18:15 : 対象製品,対象プラットホームおよび問い合わせ先を追加いたしました。
      親コメント
  • ―ってことですね。
     今回騒ぎに引っ掛かった企業はヴィルスバスターからマカフィーに
     乗換えを検討するのでしょうか?
     
     「次から気をつけてくれ」とか言うレヴェルじゃない気がする。
     Windowsみたく実質他の選択肢がないのなら仕方ないけど。
     
     個人的にはヴィルスバスターなどのリアルタイムスキャンは
     ジャマと思っているので、この類のソフトはパソコンにインストール
     していないのですが、皆さん如何でしょう?
     
     メールサーバーがウィルスチェックしてくれるし、OS等は
     最新パッチを充ててるから、余程アングラなサイトを見たり
     しない限り無問題と考えてますが。
    • Re:敵は内側になり (スコア:4, すばらしい洞察)

      by wadatch (6649) on 2005年04月24日 5時43分 (#727214) 日記
      問題の本質は、ウイルスソフト乗り換えとは別の所にあるように思います。
      これは、どのウイルスソフトでも起こりえることでしょう。
      WindowsUpdateでも起こりえることかもしれません。

      確かに、だからこそ「実際にやってしまった」というのは十分乗り換え理由として成り立つ部分もありますが、個人ユーザーで、ライセンスを実家の家族分併せて5つも持つ私としては、おいそれとできることでもありません。ライセンス更新だけで年間15000円かかるわけですし、かといって無料ソフトを家族がきちんと運用できるか、というと不安です。Symantecは根本的にバージョンアップが有料ですので、高く付きます。どれも一長一短。
      なので、しばらく様子見です。

      そういえば、WindowsUpdateやHotFix適用では、ユーザー企業はテスト環境で適用を行い、許可したものだけを社内に再配布していることが多いと思います。
      が、ウイルスチェックの定義は、社内確認をする仕組みが整っていないのでは?というのも、今回の事件で感じたことでした。
      私の会社もHotFixの適用試験はありますが、SymantecAntiVirusはそのまま流れているようです。

      ただし、ウイルスチェックも、(そして、本当はWindowsUpdateやHotFixも)早急な確認が求められるものです。
      この辺りをどのように教訓として受け止めるのか、そして、解決を模索するのか、が大変興味があります。
      親コメント
    • リアルタイムスキャンの効能としては、未知の古典的なウィルスの動作(MBR を書き換えてみたり、他のファイルに感染してみたり)を察知し、未然に被害が防げることが挙げられます。出所不明な謎フロッピーの実行ファイルを実行しなければならない立場になった時に役立ちます =)。

      ウィルスチェックといっても世の中に出回っている全てのウィルスを検知出来るわけではなく、その時に流行っているウィルスのパターンファイルに適時更新されているだけなので過信は禁物かと。
      --
      Mc.N
      親コメント
  • これって。 (スコア:2, 参考になる)

    by siva-jp (18925) on 2005年04月23日 19時17分 (#726995)
    4/20のときの障害(POP3_STRING_FORMAT_EXPLOIT_ATTEMPT誤検出)と関係あるのかなぁ。
    メール取れなくなってサポートに連絡したら、一応4/21に対応版が出たみたいなんだけど…。

    それにしても、PCが動かない件の対応を、PC立ち上げてWebサイト見ないとわからないという罠。
    KNOPPIX持ってなかったら、PCフォーマットしてたな、多分^^;
  • by Elbereth (17793) on 2005年04月23日 23時33分 (#727099)
    今回のに似た現象として、1年ちょい前くらいだったかに
    SymantecのNISで、インストールされている証明書が古かった場合に
    Officeを起動すると同じようにCPUパワー食いまくりで仕事にならない
    という事件がありましたねぇ。

    ウィルス対策ソフト等のセキュリティソフトはOSの根幹部分を
    いじりますから、トラブるとそれだけ深刻になりやすいです。
    OSの動作が不安定になったら、まずセキュリティソフトを止める。これ基本。

    #出先なのでAC
  • by suexec (16684) on 2005年04月24日 2時06分 (#727168) 日記
    23日の夜にトレンドマイクロ社が記者会見を行ったようです。
    それによりとウイルスの定義ファイルを公開前に必要なテストを
    怠ったそうです。

    公開デバッグですか・・・
    凄い結果が出ましたね。
  • by mnr (22000) on 2005年04月23日 16時51分 (#726918)
    けっこう巻き込まれた企業とかあったみたいですね。
    http://flash24.kyodo.co.jp/?MID=HKK&PG=FLASH
  • by tyamagch (672) on 2005年04月23日 17時19分 (#726930) 日記
    パターンファイルを正しいものに更新するのにかかる時間が気になる
    --
    Don't ask me why!
    • by gnaka (17369) on 2005年04月25日 1時27分 (#727505) 日記
       CPU使用率が100%になったからといって必ずしもシステムが使い物にならなくなるわけではないはずなんですが、それでもそういう症状が出ていたということは、このソフトのプロセスが、プライオリティを高くして実行するようになっていたということでしょうか。
       実際、NT系Windowsのプライオリティの効果は、UNIXのnice値などと比べても強烈すぎる印象があります。そういう意味では、もしこの推測が正しいとすれば、OS側の設計にも多少問題があったということかもしれません。

      # 親コメントとは直接関係ないんですが、タイトルがそれらしいので
      # ここに付けました。
      親コメント
  • by Anonymous Coward on 2005年04月23日 17時20分 (#726931)

    今回のように特定のソフトウエアの不具合が原因となって経済的な損失が発生した場合、メーカーは責任を負うべきなのでしょうか?それとも免責なのでしょうか?

    日本は判例主義なので、ユーザが民事訴訟を起こして判決が出ない限りはグレーなままで結論が出ないとは思いますが、製造物責任法(PL法)が優先されるのか、それともソフトウエア購入時の契約条項が優先されるのか、興味深いところです。

    今後ソフトウエア品質の責任範囲を明確化する意味でもどこかのユーザさんが訴えてくれたりすると面白い(!= 面白おかしい)のですが・・

    • by ef (25263) on 2005年04月24日 9時55分 (#727259)
      トレンドマイクロの「サービスに対する質問」(VRSFAQ.pdf) [trendmicro.co.jp]にこんなくだりがあります。
      Q. パターンファイルでシステムがクラッシュしたらどうなりますか?
      A. パターンファイルは、TrendLabsによりテストされ、認定を受けてから配布されます。 ただし、コンピュータ環境は非常に複雑ですから、どのように安定したソリューション でも、固有のシステムの微妙なバランスを壊すことがないとは限りません。 トレンドマイクロは、サービスとサポートに広く認められた規格と作業方法を採用しています。 また、TrendLabs本部はISO9002認定取得済みです。 パターンファイルが原因でシステムがクラッシュした場合、お客様は違約金を受け取る権利があります。 ウイルスレスポンスSLAプロセスの下で、お客様は、製品関連のケースの解決を要求出ることが出来ます。 トレンドマイクロは、お客様の満足を最優先しており、お客様と協力して、お客様の環境で効果的に機能する解決策を実現します。
      この文書の法的効力は未知数ですが、今回まさに
      パターンファイルが原因でシステムがクラッシュした場合
      なので違約金の請求は免れないかも。
      親コメント
    • 優先?
      ソフトウェア(無対物)が製造物責任法に問われるようになったのですか?

      (備考URL http://www.mri.co.jp/COLUMN/TODAY/MURANO/2004/0324MM.html )
      --
      from もなか
      親コメント
      • by Anonymous Coward on 2005年04月23日 21時52分 (#727054)

        製造物責任法では「ソフトウエア(無体物)は除外」とは明記してないですよ。
        第二条にも「この法律において「製造物」とは、製造又は加工された動産をいう」とありますから、不動産に該当しないソフトウエアは動産と見なされ製造物としての扱いを受ける可能性がありうるということになります。

        実際のところ判例がないので何とも言えませんが、実害を被った人は裁判を起こしてみる価値はあると思いますよ。被害額と裁判にかかる費用のバランス次第ですが。

        親コメント
        • by cakefear (17436) on 2005年04月24日 0時42分 (#727132)
          ソフトウエアは、PL法の対象じゃないです。

           動産ってのは、不動産以外の物のこと。それで、物ってのは有体物ってことになってます。

           民法第85条とかを読んでみてくださいな。

           世の中には、特許法みたいに、プログラム(ソフトウェアみたいなもの)の発明を物の発明として扱うって法律もあるけど、原則は物といえば有体物です。
          親コメント
        • えー?
          確かどこかで「モノっていうものは有体物」だとあって、不動産も動産も、モノをベースに定義されていると記憶していますが。民法だっけ?
          まあPL法そのものにはご指摘の通り書いていませんわね。
          --
          from もなか
          親コメント
  • by Anonymous Coward on 2005年04月23日 17時22分 (#726934)
    ウイルス対策ソフトって、使って何か意味があるのでしょうか。
    メールに添付されてきたウイルスなんて見ればわかるし、重くなるだけのような気がするので使ったことがないんですが。
  • by blackster (18188) on 2005年04月23日 17時44分 (#726944)
    とても大変だったと思いますが、裏返すと被害を受けた企業は割ときちんと対策をしていたんだなぁ・・・と思います。 一斉に出たと言うことはアップデートも自動だったんだろうし。 僕も2005を使っていますが昼まで寝ていたため無事だったようです。
    • by baffclan (9449) on 2005年04月23日 18時54分 (#726981) ホームページ
      対処を行っていたということは賞賛に値しますが、一社の対策ソフトに傾倒しきっているのは問題。

      旅客機だったら、操縦士と副操縦士は別々の食事を摂るだろうし、大企業が社内旅行に行く場合、
      会社全体(そこまで行かなくても支店全体や部門単位全体)で行くことはまずないでしょう。
      もしものこと(食中毒や交通事故)が起きたときに被害(墜落とか部署消滅)を起こさないために、
      危険を分散・低く抑えるさせておくことが重要(というか常識)じゃないですかね。
      その対処を怠っていたことを、自らが手を挙げて宣言しているのは愚かと思いますけど。

      > 僕も2005を使っていますが昼まで寝ていたため無事だったようです。
      他の人の検証・反応を確認してから入れることも重要です。
      親コメント
      • by Anonymous Coward on 2005年04月23日 19時19分 (#726996)

        はて、管理コストを考えるとある種のソフトは統一したほうが、管理コストの削減にもなりますし、ボリュームライセンスの適用により導入及び継続的にかかる更新時の費用も軽減が可能です。 ウィルス対策ソフトで管理マネージャを用意して一括管理できるようにするならば、統一するメリットは高いと思います。

        本当は複数種類のソフトを管理できるマネージャを利用できるようになるといいのですけどねぇ。。。

        いちおう、クライアントはAの、サーバはBで(ファイルサーバはクライアントと同じ必要もあるかも)、検疫もできれば別のCと複数種類のものを組み合せられるといいのですけどね、管理コストあげないで、、

        親コメント
    • by Anonymous Coward on 2005年04月24日 9時14分 (#727248)
      昨日は休日返上でした(苦笑) 未知のウイルスかも?ということで緊急招集。高速で2時間ぶっ飛ばし状態。去年の12/29~1/1にかけて導入したXP SP2のパソコン *のみ* がだめになったんで、かなーり焦りましたよ。客先は某地方自治体で「日直で8時過ぎに出勤したらパソコンが固まった」だそうで。

      問題は本庁系よりもパソコン数台しかない出先系が悲惨っす。出先には情報担当者なんていないし...(涙)

      緊急出動だった皆様、そういう出張所みたいな現場にも急行されたのでしょうか? 皆様、乙です

      親コメント
    • by ragdu (14317) on 2005年04月23日 21時13分 (#727036)
      今回大々的に報道されたってことは多くの企業でアップデートを自動にしていたんでしょうかねぇ。
      この手の話が今まで大々的に報道されていないってことは………そう
      WindowsUpdateの自動更新はあまり行われていないという証左になるかも!
      親コメント
  • by Anonymous Coward on 2005年04月23日 17時59分 (#726950)
    トレンドマイクロの不具合関連、最近多すぎです・・・。
    誤検出情報はしょっちゅう出てますし・・・、
    最近パターンの改訂頻度が上がったのが原因で
    テストがイマイチになっているような気がします。

    これMicrosoftのアップデートが原因で・・・と同じような・・・
    (他のアンチウィルスソフトでも不具合は起きてますけど)

    #俺の睡眠時間を返せ~
    #ヘルプ電話が何件も・・・orz
  • これが (スコア:1, 参考になる)

    by Anonymous Coward on 2005年04月23日 18時16分 (#726957)
    平日のビジネスアワーだったらもっとエライことに
    (今日のウチの会社はメンテナンスでネットワーク止めていたのでA.C.)
  • 本当に危ない企業 (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2005年04月23日 19時31分 (#727003)
    ウィルスバスターを使っているのに、今回の騒動に巻き込まれていない企業って、定義ファイルを全然アップデートしてないんじゃ…
  • 実際のとこ (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2005年04月23日 21時48分 (#727052)
    トレンドマイクロの「社内」では問題がおきなったのでしょうかね。
    #誰もXP でSP2を入れていないとか。<だったら笑えるが・・。

    本問題の報告の第一声が「社内」では無く、「社外」から
    あがってきたのだとすると、セキュリティ製品の企業としては
    大問題ですな・・。

    "関係無いけど、何でここに書き込みをすると、Norton AntiVirus2005が反応するの?<何かをブロックしたらしい"
  • 努力しても成し遂げられなかった目的をあっさりやられたその悔しさを。
  • 社内全体で同一のセキュリティ対策を導入しているのは
    どういうものなのかなと、、。
    --
    −・・ ・   ・ −・−・ ・・・・ −−−
    手垢で汚れた少年漫画とソースの香りがいい感じ
typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...