セキュリティベンダーのソフトウェアアップデートが、本来保護すべきコンピュータシステムに大混乱をもたらすことほど、IT管理者の一日を台無しにするものはありません。まさに今日、多くのIT管理者が直面している苦境です。マカフィーの欠陥のあるアップデートによってWindows XP搭載PCが実質的に使い物にならなくなったのです。
マカフィーの広報担当者、ジョリス・エバース氏は、電子メールで声明を発表し、「過去24時間で、マカフィーはWindows PCに影響を与える新たな脅威を特定しました。研究者は、Windowsシステムの重要な実行ファイルを攻撃し、コンピューターのメモリの奥深くに潜むこの脅威に対処するために、熱心に取り組んできました」と説明しました。
エバース氏はさらに、「研究チームはこの脅威に対処するための検出と除去ツールを開発しました。この修復ツールは品質テストに合格し、4月21日(水)午後2時(GMT+1)(太平洋標準時午前6時)にウイルス定義ファイル5958とともにリリースされました」と続けました。
その後間もなく、Windows PC、主に Windows XP SP3 PC で、頻繁な再起動やよくある BSOD (ブルー スクリーン) システム クラッシュなどの重大な問題が発生しているという報告が表面化し始めました。
多くのお客様が誤検知を経験し、それが混乱の原因となりました。5958個のウイルス定義ファイルは、Windows PCのコアシステムファイルであるsvchost.exeをマルウェアの脅威として検出するようです。しかし、マカフィーの声明によると、「McAfee VirusScan Enterpriseの「有効時にプロセスをスキャン」という機能をデフォルトで無効にしていた企業は影響を受けなかった」とのことです。
マカフィーは、問題のあるアップデートをマカフィーのサーバーから速やかに削除しました。問題に対処するため、マカフィーフォーラムで緊急用のextra.datファイルが公開されましたが、フォーラムサイトは顧客からの反発で溢れかえり、最終的にオフラインとなりました。修正されたウイルス定義ファイル(5959)は現在公開されており、マカフィーは影響を受けたシステムの復旧手順を公開しています。
エバーズ氏は、影響を受けた顧客への謝罪と、次のような責任の所在を示す声明で締めくくりました。「誤った検出がどのようにして当社の DAT ファイルに生じたのかを調査しており、再発防止策を講じます。」
影響を受けるシステムの特定
明らかに、Windows XP SP3 システムが BSOD を表示したり、頻繁に再起動したりする場合は、システムが McAfee による W32/wecorl.a ウイルスの誤った検出によって影響を受けたことを示すかなり強力な証拠があります。
Solera Networksの広報担当者は電子メールで声明を発表し、影響を受けるシステムのすべてが明白なものではないと指摘し、ネットワークの脅威は悪意なく内部から発生することが多いことを強調しました。「本日のMcAfeeのインシデントのように、セキュリティ上の問題は必ずしも悪意のある外部のハッカーから発生するわけではありません。McAfeeのような信頼できるパートナーによる、悪意のない活動から発生する場合もあります。」
声明にはさらに、「個々のマシンをクリーンアップするだけで十分と思われるかもしれませんが、影響を受けたファイルやシステムの痕跡が、目に見えない形で残っている可能性があります。継続的に報告されているように、多くのセキュリティ侵害とその被害は、ネットワーク上に何日も、何ヶ月も、あるいはそれ以上も、気づかれないまま残ります。信頼できるパートナーであっても、目に見える範囲を超えてネットワークに大混乱を引き起こす可能性があります。」と記されています。
影響を受けたシステムの復旧
Solera Networksの顧客は、Network Forensicsなどの製品を活用し、ネットワーク全体を網羅し、問題のあるDATファイルがネットワークを通過した場所、誰がダウンロードしたか、いつ、その後何が起こったかといった証拠をネットワークアクティビティ全体で探しています。Network Forensicsを活用することで、これらの企業は効果的に過去を遡り、ネットワーク全体を完全に可視化した上で、数分で完全なクリーンアップを実行できます。
過去への遡及と言えば、Windowsシステムの復元機能を使えば、障害のあるDATの影響を簡単に元に戻せる可能性があります。5958 DATがリリースされる前の時点にシステムを復元することで、コンピューターを効果的に過去へ戻し、ダメージを回復できるはずです。
もしかしたら、ここにはもう一つ微妙なメッセージがあるのかもしれません。McAfeeの不具合のあるアップデートによって機能不全に陥ったのは、Windows XP SP3搭載のPCでした。そろそろWindows 7へのアップグレード時期なのかもしれません。
トニー・ブラッドリーは、 『Unified Communications for Dummies』の共著者です。 @Tony_BradleyPCWとしてツイートしています。Facebookページをフォローするか、[email protected]までメールでご連絡ください 。
