模範的ユーザーが被害
ウイルスバスター事件の真相
最近のネット事件のうちでも、最も話題になったのはトレンドマイクロのウイルスバスター事件だろう。ウイルスバスターの新しいパターンファイルに不備があり、ファイルを自動ダウンロードしたPCのCPUを100%占有してしまったという事件だ。何でも、新しいパターンファイルは特殊な形式の圧縮ファイル内にウイルス検索をかける仕様になっていたが、Win dowsXP Service Pack2(SP2)の一部のファイルを特殊な圧縮ファイルとして認識してしまい、無限ループに陥ってしまったそうである。
あの事故は、トレンドマイクロが、SP2環境でのチェックを怠っていたために起こったそうだ。実話だとすれば、少々驚かされる話だ。パターンファイルに不具合が存在していたのはしかたがない。どんなプログラムでもバグが存在することはありえるからだ。バグを発見したら、修正すればよいだけの話である。そのために、ウイルス対策ベンダーはさまざまなバージョンのOSを用意して、チェックを行っているのだ。
今回のケースも、SP2環境でチェックさえしておけば、世間に悪評をばらまくこともなかったはずである。特に、WindowsXPの自動アップデートを利用している
ユーザーにとっては、当然SP2が「スタンダード環境」だ。ところが、ウイルスバスター自体は自動アップデートを推奨しているのに、マイクロソフトの自動アップデートは無視した状態でチェックを行っていたわけである。これでは、各方面からの非難が集まってもしかたがないだろう。
幸いなことに(?)、たまたま筆者は、ウイルスバスター事件で動かなくなってしまったPCを目の当たりにした。母親の友人が被害にあったのだ。まだニュースにもなっていない時間帯だったので、最初はウイルスバスターに問題があるとは気づかなかった。筆者はタスクマネージャから原因を特定できたのだが、普通のユーザーは何から手をつけてよいのかわからなかったに違いない。
ちなみに、その「母親の友人」というのは、60代を越える女性にしては珍しく、マザーボードからチョイスした自作マシンを使用していた。手塩にかけたPCを他人の手でメンテナンスされるのはしゃくだったろうが、今回のトラブルだけは一人で回避するのは不可能だったようだ。必ず決められた時間に自動アップデートが行われるように設定している模範的なユーザーだったのだが、それゆえにトラブルに巻き込まれるという皮肉な形になってしまった。
こんな時代もありました
自動アップデートの功罪
ところで、いつのころからこれほど頻繁に自動アップデートが使われるようになったのだろう。少なくともダイヤルアップ接続が一般的だったころは、自分で勝手にダイヤリングするソフトウェアは、「タチが悪い」と嫌われたものだ。それがブロードバンド時代に入ると、勝手に差分をダウンロードして、インストールまで自動で行うツールが急増している。
昔話になってしまうが、Windows2000の時代には、Service Packを適用するときはかなり慎重になったものだ。会社内では、ネットワークやPCの管理者が数週間から数か月もテスト運用したうえで、初めて全社的に適用していた。
コンシューマーレベルでも同様だ。できればService Packを適用したくない…と思いながらも、最新機能や不具合解消などの魅力に勝てずにアップデートするのが常であった。無目的に「新しいものが吉」という考え方をするのではなく、「動いているものにはできるだけ手を加えないように」という控えめな哲学があったように思う。
それが現在では、アップデートする目的さえ見失ったかのごとく、「常に最新版でなければ気が済まない」という病的な状況になってきている。それというのも、OSというのはほとんど「完成されたものだ」という意識があった昔とは違い、OSやアプリケーションのぜい弱性が次から次へと明らかになり、さらにその欠点を突いたウイルスやワームが毎日のように更新されているからであろう。まるでイタチごっこのように、最新パッチのダウンロードが必須となっているのだ。
確かに、PCを常に最新の状態に保つためには、自動アップデートは便利な存在だ。ウイルス対策ソフトのように、最新版でなければ使う意味がないツールの場合はなおさらである。しかし、何でもかんでも自動アップデートというのはかなり危険な発想なのではないだろうか。
筆者が推測する
ソフトウェアベンダーの真意
自動アップデートが流行した背景は、前述の「OSのぜい弱性やワームの頻発」以外にも、さまざまな要因がある。ソフトウェアベンダーは、自動アップデート推奨の理由として「ユーザーにアップデートを意識させずに最新の状態を保つため」とうたっているが、これは悪く言えば偽善的な理由に過ぎないと筆者は思う。
ソフトウェアベンダーにとって、不法コピーやインターネットを通じた海賊版ソフト「Warez」の流通などは、やっかいな問題だった。レジストキーやシリアルナンバーなど、暗号キーによる対策が採られたが、これもクラッキング技術の向上によって役に立たなくなってきた。インターネットを通じたプロダクト認証や、ライセンス認証などの認証方法にも「穴」があるのが実情だった。
しかし、もしも自動アップデートなどの常時接続型サービスによって、ユーザーIDなどの認証コードと同時にIPアドレスなどを収集できれば、不法ユーザーの一掃が可能になる。少なくとも、正式ユーザーでなければアップデートを拒否できるシステムを構築することはできるだろう。
自動アップデートを提供しているベンダーのすべてが、このような目的で自動アップデートを推奨しているわけではないだろう。しかし、自動アップデートを使用させることで、スパイウェアのようにユーザー情報を収集できるという可能性は否定できない。
かつて、Warezユーザーの間で、こんな話がささやかれていたことがある。「某ソフトウェアベンダーのアプリケーションは、インストール時にユーザー情報を勝手に送信するので、ネットワーク接続を切ってからインストールするべきだ」という話だ。嘘か真実かはっきりしないが、なかなかよくできたネット都市伝説である。著作権保護にシビアなベンダーならば、いかにもやりかねないイメージがある。
自動アップデートはある意味、初心者にとってこのような都市伝説の端緒にならないだろうか。しかも、もしかしたら自動アップデートとスパイウェアは、ほんとうに紙一重になっているのかもしれないのだ。
NETWORKWORLD 8月号(2005年6月18日発売)掲載
|