2014年03月31日

「結局あれは なんだったんでしょうね」を今から振り返ると

トレンドマイクロ社による連続誤検知問題・冤罪被害者救済拒絶問題いちおうの解決をみてから、まもなく3ヶ月経過しようとしています。

問題の発生(2012年4月の未確認報告を最初の発生と見なすならば)からは、およそ2年が経過することになります。

そういえば2012年10月末に、「結局あれは なんだったんでしょうね」とTwitterで質問されて、結局、当時得られていたの数少ない情報からでは何も分からなかった―――みたいなことがあったわけですが、現在では上席執行役員さんの協力もあり、またトレンドマイクロ社からの情報開示もあり、検証のための情報もそろってきた感があります。

そこで、これを機に、もう一度振り返りをしてみようかと思います。

(1) 「あれ」の定義

振り返るにあたって、まずは振り返る対象を明確にしておきたいと思います。
ここでは「連続誤検知問題」とは何だったのかを振り返りたいので、「連続誤検知」を細分化して「一次誤検知」「二次誤検知」の発生要因と、その状況の混乱に拍車を掛けた要因について探ってみたいと思います。


(2) 一次誤検知とは何だったのか

振り返ってみると、連続誤検知には2つの時期があったと思います。
それぞれ、「誤検知」の事象を引き起こした理由は同じですが、その現れ方が違っていたのではないかと考えます。

まず、「誤検知」の事象を引き起こした根本的な原因は、トレンドマイクロ社のサポートスタッフの方からも話のあったとおり、

・URL文字列の処理バグにより、ファイルの中身を見る前にウイルスであると誤認するようなプログラムとなっていたこと

ということになるかと思います。色々な事象(誤検知される前とされた後では、バージョン情報表示文字列の違いくらいしかなかった)を説明する上で、一番矛盾がなく説明できると思いますし、そもそもトレンドマイクロ社のサポートスタッフの証言であることが有力となる根拠になるかと思います

また、その後、トレンドマイクロ社の上席執行役員さんに詳細を聞いたところ、2012年4月にウイルスバスターとそのバックエンドにプログラムの改修があり、その際にバグが混入した旨、確認が取れましたので、実際その通りなのだろうと思われます。

この誤検知については、通常知られるような「低確率で発生する誤検知」ではなく、特定の形状を採るURLが現れると非常に高確率で発生する誤検知となっていたため、特定のサイト(ファイル?)に対して、執拗なまでの高確率誤検知が発生したということになります。

(3) 当初の連続誤検知とは何だったのか

先ほどの「一次誤検知」に対して「二次誤検知」(連続誤検知と見えた部分)についても考えてみたいと思います。
当初の連続誤検知は、

・誤検知が発覚してトレンドマイクロに問合せ
   ↓
・解決したと連絡が来ると同時に、これまで誤検知されていなかった他のミラーサイトを誤検知。トレンドマイクロに問合せ。
   ↓
・解決したと連絡が来ると同時に、これまで誤検知されていなかった他のミラーサイトを誤検知。トレンドマイクロに問合せ。
   ↓
・解決したと連絡が来ると同時に、これまで誤検知されていなかった他のミラーサイトを誤検知。トレンドマイクロに問合せ。
   ↓
   :
   :


の繰り返しが1〜3日の間隔で発生するという現象に対して、そう呼んでいたように思います。

この2ヶ月後に受けた説明として、「クローリング活動の検出技術」による問題だったことが知らされました。つまり、本体サイト、ミラーサイト1、ミラーサイト2、ミラーサイト3、…はすべて異なるドメインに配置されておりましたので、「クローリング活動」は、その処理リストに基づき、それぞれ時期をずらして、別々のタイミングで行われておりました。

そして誤検知が別々に発生し、連続誤検知のように見えていたということになるかと思います。サポートスタッフの対応(それに携わる技術スタッフの捉え方)もそれぞれ個別な対応となってしまっていて、状況の整理とイタチゴッコ的になる対応が発生しいました。

例えば酷かったことと言えば、ある転載サイトから「あなたの所からウイルスが発生したので、掲載を見合わせます」と連絡が来て、トレンドマイクロに問い合わせて解除してもらい、「では転載しますね」と言われたとたんに、今度はその転載サイトがウイルスバスターによりブロックされた、というようなこともありました。

また、このときはトレンドマイクロのサポートスタッフからは要領を得ない回答しか来ていませんでしたが、1年半が経ち、トレンドマイクロ社の上席執行役員さんに詳細を聞いたところ、この間、

・トレンドマイクロ社から私に対して寄せられた回答の中に、全く別の方へ回答すべき内容が含まれていた
・そもそもサポートスタッフ自身「何が起きているか」を正確に把握していなかった
・把握した後も、その内容を私へ正確に伝えることをしていなかった


というようなことも発生していて、混乱にさらに拍車を掛けていたことがわかっています。
加えて、INASOFTのサポートへのヒステリックなユーザーからの問合せであるとか、夜中にかかってきたプロバイダからの警告電話(ウイルスを配布していると疑われた)であるとか、(ごく一部ですが)転載サイトからの機械的で冷たいメールとか、そういったものも、作者の心に負担を掛けていった要因といえるかもしれません。

(ちなみに転載サイトの反応は様々で、窓の杜のように早期に明確にトレンドマイクロ・ウイルスバスターとの決別を宣言するサイトもあれば、Vectorのように「こちらからの登録(アップロード)制」のために問題の起きなかったサイトもあるし、上記記載のように機械的な対応を繰り返ししてくるサイトもあったりしました)

このあたり、トレンドマイクロ社がきちんと自ら、ウイルスバスターユーザーに向けての情報発信を行ってこなかったことが、結果として、混乱を収めることの出来なかった一番の原因になったと考えられます。


(4) その後発生した連続誤検知とは何だったのか

実は「二次誤検知」は2つに分類できることがわかっています。
一つは、根本原因が分かったと宣言されるまでの間の連続誤検知((3)で発生したもの)。
もう一つは、根本原因が分かったと宣言された後に発覚した連続誤検知です。

過去の経緯を見て頂くと分かるとおり、トレンドマイクロ社が7月13日に「原因が分かった」「再発防止策を構築した」と連絡が来た後、ほぼ1ヶ月後の8月19日に、誤検知が再発してしまっております。
この間、ソフトウェアのバージョンアップ等は行っていませんし、URLの変更もしていません
過去に安全と判定されたURLが、いきなり危険と再判定され、ブロックされてしまうというという現象が発生しました。

このときのことを、上席執行役員さんに聞いてみたところ、

今回の誤判定が想定を超える頻度で繰り返されたのは、弊社の2種類の検出メカニズムの不整合によるもので、INASOFT様でのURL変更が起因したわけではありません
一般的な誤検出と見た目の現象が同様であるため、真の原因にたどり着くまでに時間がかかり、(中略)、原因や対応方法など矢吹様にご案内できる内容も変わってしまう状況が発生しておりました

とのことでしたので、トレンドマイクロ社内でも本現象の取り扱いを巡り、状況が混乱していた様子が窺えます。
実際、トレンドマイクロ社のサポートスタッフが「原因である」と考えていたものは、的外れだったことが分かっています。

このような、1ヶ月経って、誤検知が再発した事情については、当時の私の想像としては、

(当時あちこちで言われていた、人手による再発防止策が実施されていたという仮定が成り立つ場合)
 ・再発の防止のために行われた『社内モニタリング』が、サポートスタッフの夏休みで中断していた。

(『クローリング活動による問題』による問題が今回も発生していた場合)
 ・再クローリングが1ヶ月の間隔で行われており、せっかくの誤鑑定抑止が解除されてしまった。

あたりかと考えておりましたが、上席執行役員さんの説明としては、

・『弊社側でWebサイト(ダウンロードURL含む)の評価を自動で行い、その評価結果を蓄積する』
・『その蓄積された評価結果(Webレピュテーション)とファイルレピュテーションの不整合が原因となり一連の問題が発生・継続し、想定を超える高い頻度の誤検出につながりました』

とのことですので、一ヶ月かけて何らかの『蓄積』を行っていて、その蓄積が爆発した結果が「連続誤検知の発生と継続」に繋がったということのようです。

この結果、本当の原因が発覚し、それの対応を行うことになったようなのですが、当時「解決には半年かかる」と説明していた内容が破綻したわけですから、解決時期に関しては「不明」となりました。ただ、この過程は私に説明されることはありませんでしたので、これもまた、さらなる混乱に拍車を掛けるきっかけになったのかもしれません。
posted by ayacy at 21:00 | Comment(0) | TrackBack(0) | フリーソフト
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/92102603
※ブログオーナーが承認したトラックバックのみ表示されます。
※言及リンクのないトラックバックは受信されません。

この記事へのトラックバック