トレンドマイクロの4月23日に何が起こったのか 71
ストーリー by yoosee
自動配布というリスク 部門より
自動配布というリスク 部門より
TV曰く、"先の4月23日にトレンドマイクロ社製のウイルス対策ソフトが原因でCPU使用率が100%になる大規模な障害が発生したが、その件についてデジタルARENAにエバ・チェン代表取締役社長兼CEOと大三川彰彦執行役員日本代表へのインタビューが掲載された。
CEOによると今回の障害の原因は、同日通常のパターンファイルと一緒に配布されたワーム検知のための「特別な圧縮部分を判別するプログラム」の動作確認が不十分だったことにあるという。また、緊急事態発生時の対応フローはあったものの、今回のケースはそうしたフローの想定外だったため、対処に時間がかかってしまった事も述べられている。"
嵐を乗り越え、虹が見えた (スコア:3, 興味深い)
トレンドマイクロとIBM、検証設備「トレンドマイクロ テストセンター」を設立 [cnet.com](CNET Japan)なんて報道もあったけれども、敵失がないかぎり、リカバーって難しいんじゃない?そもそもアンチウィルスソフトなんて必要ないって考えている人まで居る状況では
Re:嵐を乗り越え、虹が見えた (スコア:2, すばらしい洞察)
もちろん、次に同じことをしたら後は無いと思え! ……というのは、相手が誰であろうと同じ事ですけど。(w
今回、顧客ばなれが起きたのは主に個人顧客だと思いますね。企業と違って発生後の対応を加味しないことが多いので、個人のウイルス対策ソフトの紹介サイトでは軒並み悪感情が見えて取れますし。
#そもそも商売敵は、エンタープライズ版の値段設定が既に敵失だったりするので乗り換え対象になっていなかったりする罠……。(w;
#それにしても、McAfeeっていつの間にあんなにマイナーになったんだろうか? 検討対象にもならないし。
--- どちらなりとご自由に --- --
Re:嵐を乗り越え、虹が見えた (スコア:1)
MはMで前科があるからではないですか。
もっとも、俺の先任者はがっちりMを検討して、おまけに採用までしてしまい、とどめにアテにならない設計書を残してWindowsのウイルス対策全般を俺に任せてプロジェクトを去りましたが。
# 統合管理ソリューションがあるというのはおいしいが、
# 結局レポート表示に関してはCrystal Reports入れないと
# 使い物にならんのではないかという気が>ePolicy Orchestrator。
ウイルス対策も統合管理もMで固めたシステムの設計構築真っ盛りなのでID。
Re:嵐を乗り越え、虹が見えた (スコア:0, おもしろおかしい)
今回の事態のどこをどう解釈したらそう読み取れるのだろう?
Re:嵐を乗り越え、虹が見えた (スコア:3, すばらしい洞察)
企業規模などから考えると、あれだけ動けたというのはある意味で賞賛に値するレベルなんですよ。大規模ウイルスへの対策としてマニュアルはあったのでしょうけど、サポセンの緊急増強とか普通の企業ではできませんし。
企業は大体の場合、一回目の事故は対処さえしっかりしてくれれば大目に見ます。そして二回目を起こさないための対策を要求します。それでも二回目を起こしたなら切る事を検討します。
会社の中の人なら、一度くらいはそういう経験があるはずですよ。
--- どちらなりとご自由に --- --
Re:嵐を乗り越え、虹が見えた (スコア:2, 興味深い)
その場合ももちろん「即座に乗り換え」なんてできるわけもないのですが、次のシステム更新では別製品を強く考慮するのは当然アリでしょうし、半分だけ別製品にする、といった対応もアリでしょう。
Re:嵐を乗り越え、虹が見えた (スコア:2, すばらしい洞察)
「これまで約15年、ウイルス対策ビジネスに携わり、大きな問題は起こしませんでした。」
これまでも、イロイロやってくれた気がするのは気のせいでしょうか?
#トレンドだけではないですが。
Re:嵐を乗り越え、虹が見えた (スコア:0)
>今後の対策がきちんと明示され、検証設備が増強された事で特に問題はないと考えると思いますよ。
ということにしたいがための宣伝記事ですよね。
Re:嵐を乗り越え、虹が見えた (スコア:2, おもしろおかしい)
担保は? (スコア:3, すばらしい洞察)
運用設計をしている私からすると、これって運用が悪かったんじゃ?と感じてしまいます。
問題を発見した時点で現状復旧させられればいいし、配信システムはあるんだから、
「取り急ぎ、新しいパターンファイル番号で、問題がなかったパターンファイルと同じ内容のものを配信する。」
で、被害拡大を食い止める対策としてはいいんでは?とか思いましたが。
よくある、問題がないファイルを誤検出するという問題も、本来は取り急ぎ、こう対応するべきだと思います。
今回の場合、CPU100%で動きません!ってお客さんには、後追いで復旧手順書を用意して、Webサイトで告知するというやり方になってしまうのでしょうけど。
その後、社内で問題解決をしていただければいいんで。
それに、パターンファイルの更新は、変更作業をしているんだから、
「担保として、シンプルな手順で変更作業前に戻せる現状復旧手段を持っておく。」
というのは常識だと思うんですけど。
想定する障害の対処フローしか用意していなかったなんて…。
だめだってばー。 - Re:担保は? (スコア:5, 参考になる)
もし貴方が社長なら、同じハメを喰らいますね。
> 問題を発見した時点で現状復旧させられればいいし
半日で即座に配信停止し、その後問題の無いパターンを配布した。
さすがにやってますって。既に発症した端末では下記理由で不可。
> CPU100%で動きません!ってお客さんには
CPU100%を確認する所まで行きません。
ログオン画面前のシステム起動状態が延々と続きます。
せめてアップデートプロセスに到達すればいいのですが。
するとどうなるか?普通の人なら電源切りますよね。
システム起動中の電源OnOffを繰り返したらどうなるか。
--------
Stop 0x00000024
NTFS_FILE_SYSTEM
--------
あ、言っときますけど、セーフモードやCHKDSK効きませんよ。
ntfs.sysを読み込んだ時点で青くなりますから。(KB228888)
なんとかchkdskしても修復後起動しなかったし。
> その後、社内で問題解決
復旧一件当たり最低30分(セーフモードでPtn削除)
最大丸2日(リカバリ+現状復旧)の作業が
大量に有ったとして、貴方はボランティアしてくれます?
> シンプルな手順で変更作業前に戻せる現状復旧手段
現状では無理っす。逆にそんなん作ったら、突かれますよ。
OS起動中にシステムドライバとして読み込まれる構造は
最低限必須と思われます。本来の目的忘れちゃやーよ。
次期Windowsではアンチウイルス専用インターフェースが
搭載されるらしいと聞くが、そこら辺の考慮もよろしく…。
→ミスターゲイツッ
以上、喰らったAnonymousCowardからの戯言でした。
怒んないで怒んないで・・・。
Re:担保は? (スコア:2, すばらしい洞察)
変更範囲を把握しないと、復旧手順もままならないと思います。
>今回の場合、CPU100%で動きません!ってお客さん
動かなくなってしまったモノを復旧させるということは、
>後追いで復旧手順書を用意して、Webサイトで告知
されても、そのマシンでは、見えないわけですよね?それを見るというのが、「シンプルな手順」からかなり逸脱していますよね。慣れ切ったユーザにとって、パターンファイルのせいか?とわかる迄で、すでに「シンプルな手順」ではないと思いますよ。
新しめのWindowsが持っている自己復旧機能で戻るか?とか、そもそも自己復旧機能が「シンプルな手順」であるか?という問題もありそう。
Re:担保は? (スコア:1)
確かに、私が言った方法は、シンプルな手順ではないのかもしれません。
では、メーカーとして、パターンファイルの更新に関する運用、障害時の対応方法として、どういう方法が良い、どうするべきだと思われますか?
Re:担保は? (スコア:1)
メーカに特許をとらせないために、ネタを出し尽くすという手はアリかも。
#この前の騒ぎでは、メーカの営業を呼びつけて謝らせました。一緒に。 orz orz
Re:担保は? (スコア:1)
まずは、ちゃんとチェックする,,,これがメーカーとしての義務。
外したバカメーカーは不買などで潰す...これが消費者の義務。
失敗したら潰される..失敗したものを潰すことで、淘汰すれば多少はましになりそうだね。
Re:担保は? (スコア:0)
Windows起動時に特定のキー押しでスキャンエンジンなし起動
ってのが一番いいと思うけどな。
(最近safeモードって使ってないけどどうなってんだ?)
その状態でパターンファイルを元に戻す手順を黄色い紙かなんかで
挿入しておくとさらに親切かな?
Re:担保は? (スコア:1)
使えるそうですよ。 [asahi.com]
名物に旨いものなし!
Re:担保は? (スコア:1)
セーフモードを使う時点でアウトでは?とか思うんですけどね。
Re:担保は? (スコア:1)
ただし今回はCPUが100%になってハングアップしたように見えるので、そのまま放置して回復を待つのは顧客心理からして難しかったと思いますが。
ちなみに僕のPCもWinXPSP2でパターン自動updateをONにしていたのですが、被害には遭いませんでした。幸運にも。
動作確認が不十分? (スコア:2, すばらしい洞察)
Re:動作確認が不十分? (スコア:1, 参考になる)
Re:動作確認が不十分? (スコア:1)
三菱のApricotにプリインストールされてきたウィルスバスター98もボリュームコントロール(mmm.exe?mmc.exe?)とぶつかってました。
ウィルスバスターきったとたんにシステム安定しましたから。
AVGに乗り換えたときは感激でした。
2度とウィルスバスターは使わないと思っているのでID
Re:動作確認が不十分? (スコア:0)
ウイルスパターンファイルと秘密裏にばらまいてるウイルスを間違えて配布しちゃったんだよ^^
Re:動作確認が不十分? (スコア:0)
Re:動作確認が不十分? (スコア:0)
自分達で「(一部OSでは)検証やってませんでした」って発表してたんだし。
Re:動作確認が不十分? (スコア:0)
ウケ狙いの報酬 (スコア:2, 興味深い)
はっきり言って、トップに危機意識が無くふざけた体質なら、また何か起こるでしょう。
Re:ウケ狙いの報酬 (スコア:1, おもしろおかしい)
Re:ウケ狙いの報酬 (スコア:0, オフトピック)
Re:ウケ狙いの報酬 (スコア:0)
信頼回復には程遠い印象だな (スコア:1)
事実を全て話していないような印象ですよね。
75日過ぎるのを待つか、他の会社が更なる大事件を起こすのを
待つしか方法はなさそうです。
ほら、こんな所で油うってないで。 (スコア:1)
これってさ、要するにメジャーバージョンアップすべきところを
無理やりマイナーバージョンアップにとどめた結果互換性問題でプログラム暴走、
って聞こえるんですけどね。
要するにチェック体制の強化とかの問題では解決しない可能性があり、
かといってメジャーバージョンアップに伴うコストをお客が払ってくれない懸念を払拭できなかった・・・
価格競争力及び顧客満足度をアピールする事が出来ませんでした、
と言っちゃってますよ・・・・社長
こんな事してないで営業しなさい。
いなんず[いつでも前向きでイタい]
Re:ほら、こんな所で油うってないで。 (スコア:1)
通常はパターンファイルという「データ」を更新している。 が、ボット対策でウィルス検出「プログラム」を顧客のPCに送り込む必要が生じた。
パターンデータが正しいかどうかのチェックと、検出プログラムにバグがないかどうかのチェックは、異なるロジックで行わなければならない。しかし、パターンデータの正当性チェックの手続きしか行わずに、客に向けて送り出してしまった。
と、こう読めますが。
確かに昔のVirusBusterはプログラムのupdateはパターンと違って自動updateが効かず、顧客が手動でOKボタンを押してやる必要があったし、リブートも必要でした。この時代だったら、ウィルスバスターが悪くてPCが変になったことが一発で分かったでしょうね。
Re:ほら、こんな所で油うってないで。 (スコア:1)
プログラムアップデートが組み込まれてるとはいえ、
BOT対応をするのは初めての試みだったわけですよね?
この時点で懸念があった事を知っておきながら
リスクマネジメントを取らなかった、
と言うのが私から見た最大の問題点です。
方式が違うというだけなら
全社的な意思統一が必要、と言うのと矛盾しません?
それとも全社的な意思統一というのはただのポーズでしょうか?
いなんず[いつでも前向きでイタい]
Re:ほら、こんな所で油うってないで。 (スコア:1)
リリース方法が異なる懸念を把握していた部門があり、
その部門がスケジュール決定に失敗した、という問題ですから
「全社的な」意思統一を図る必要がありません。
しかし「全社協調が必要だった」という反省がある以上、
リリース方法が異なる懸念を把握している部門以外の所に
リリース時期を決める責任が在ったってことですよね?
つまりそれは会社内にその部門への圧力が在ったということです。
これを暴露する事が、社を代表するべき者としてあるまじき台詞だと言う意味です
いなんず[いつでも前向きでイタい]
あぁ、これだったのか (スコア:1)
「自分のパソコンにこのウィルスバスター入れてくれる?」
と言われた。
インストールしてみようとすると、ウィルス定義ファイルの
アップデートのところでフリーズした。
そして祖母に、ものすごく怒られた。
今思えば、これだった。
トレンドマイクロのヤツめ...
何事も同じシステムで構成しないこと (スコア:0)
同じ構成にしないことが重要でしょう。
#そうえばあの時はノートンユーザーは勝ち組みって書かれてたね
#ま同じようなもんだけどさ、そんな私はAVGユーザ
Re:何事も同じシステムで構成しないこと (スコア:0)
デスクトップ:W2kPro+VB2004(キンタマ避け)
ファイルサーバ:SBS2003+ノーガード(フリーがあれば入れるけど)
あと、全台ZoneAlarmを入れてる。
ZAがあるから、撒くことは無いと思うのだが...
#誰かサーバOS用フリーワクチン教えてくれー
Re:何事も同じシステムで構成しないこと (スコア:1)
ZoneAlerm の欠陥を突かれて全台一斉に攻略される、という可能性がありますね。他社事例 (ISS BlackICE) ですが、Witty ワームというのがありましたし。
サーバOSで使えるフリーの奴 (スコア:1)
一年無料で使えます。
手元の2003 Enterprizeで試したら偶然いけました。
ってライセンス上はどうなんだろうな。後で調べてみよう。
申し込むとメールでシリアル届くので、
インストール時に入力するだけ。
普通に1年購入扱いだから、気にせず申し込みできますぞ。
まぁ2年後以降は$20程度だし、問題なければ使い続けようかな。
めっさ軽いし。ちゃんとファイル共有でも検知したし。
ComputerAssociatesって昔は大御所だったんだよなぁ。
メリケンでは今も大御所だけど。なんで日本じゃ影薄いんだろ。
以上、オフとぴすまぬー。
Re:何事も同じシステムで構成しないこと (スコア:0)
複数OSを満遍なく扱えるスキルと、同じ目的をもった複数のソフトを購入する際の資金は、どこから出るのでしょう。それらのライセンスに高低差があるのをどうやって説得するのでしょう。
Re:何事も同じシステムで構成しないこと (スコア:4, すばらしい洞察)
最近の経営の考え方では、リスクを可視化したことに対するコスト負担はそれなりに許容されうると考えます。
小さな組織では綱渡り経営が許されるでしょうが、ある程度規模のある組織では、従業員一家を路頭に迷わせるようなことにはできないでしょうから。
#経営権の無い管理職などにコスト増に対する畏れが未だ多くあるのは確かですが。
Re:何事も同じシステムで構成しないこと (スコア:0)
あえて「少なくとも複数のOS複数のソフトの組み合わせ」に
もって行こうとするなら、単なる新たなコストですよね。
説得するための、リスクとコストの比較はどうしますか?
非常に興味があります。
Re:何事も同じシステムで構成しないこと (スコア:1)
もっとも、新たな対策をしてもリスクが0になるわけではないので、
比較対象は{新規コスト+(新規後始末コスト*新規発生確率)}ですが。
もちろん、発生確率>>新規確率でないと、投資価値はないでしょう。
Re:何事も同じシステムで構成しないこと (スコア:0)
単純にLinuxとWindowsとMacをサーバー管理レベルで扱える人って(職場にMacサーバはありえないだろうけど)、どれだけいます?
市場の需要に耐えるだけ存在しています?
Re:何事も同じシステムで構成しないこと (スコア:1)
その金額に釣られて多くの技術者が集まれば、按点に達し(その時点で)妥当なコストに落ち着くでしょう。
今は過渡期であることや、技術者の価値が過小評価されていることから、供給が不足しているのでしょう。
技術者価値の適正評価がされれば、需給がバランスを欠く状態が長く続くとは思えません。
#いつまで過渡期かっていうのはわかりませんw
要するに(-1:フレームのもと) (スコア:0)
Re:要するに(-1:フレームのもと) (スコア:1, 興味深い)
スキャンが重くて他の作業に支障が出るわ、使用期限を残り一ヶ月切ると、毎日突然確認ダイアログが出るわ・・・
わかってるんだからダイアログ抑止の手段くらい残せっつーの
Re:要するに(-1:フレームのもと) (スコア:1)
いや、煽ってるわけじゃなくて、実際難しい問題だよなぁ、って思っただけ。
ZZX
Re:要するに(-1:フレームのもと) (スコア:0)
何の役に立つんだか。