McAfee VirusScan Enterpriseがひどいことをしたのがきっかけで、このウィルス対策ソフトに対する日ごろのうっぷんが爆発した。
私は、IPAにウィルスの検出・感染件数を報告するために、会社のウィルス対策ゲートウェイからのウィルスアラートメールの配信を受けている。このウィルスアラートメールに限って、受信が異様に遅いのである。添付ファイルのない、本文がごく短いメールにもかかわらず、ひどい時には1通受けるのに1分ほどかかる。ほかのメールではそれほどのことはない。
調べてみたら、メーラーBecky!のbmfファイル(「.bmf」という拡張子の、メールを約640kBずつまとめて保管するファイル)をウィルスチェックした場合も、ウィルスアラートメールのbmfファイルに限って時間がかかることがわかった。わずか640kBのファイルなのに、CPUを100%使い切って10分近くもかかる。ほかのメールフォルダのbmfファイルのウィルスチェックは瞬時に終わる。
bmfファイルは、メモ帳などのテキストエディタにドロップしてみるとわかるが、単純なテキストファイルである。メールヘッダ、メール本文、ドット1個の行(メール一通の終わりを示す)の繰り返しにすぎない。有害なコードが含まれていないことくらい、ひとなめしてわかるはずである。しかし、解析中のファイル名の表示を見ていると、bmfファイルの下の階層に「*.EML」というフォルダが何階層も深く、しかもたくさん存在するように表示され、最終階層がまた「*.EML」というファイルで、同じ名前のEMLファイルの解析が何度も繰り返されているように見える。古いメールを削除するまでは、あるbmfファイル(ウィルスアラートメールではない)でこの繰り返しが無限ループしてディスクの全スキャンが終わらなかった。
さらに調べてみた。ウィルスアラートメールのbmfファイルのコピーを作り、その拡張子を「.txt」に変えても、ウィルス検査に時間がかかるのは変わらない。メール本文の部分から、検出日時の文字列だけを残して、「ウイルス」という文字やウィルス名などの情報をことごとく削除しても変わらない。さらにメールヘッダ中のメールアドレスやサブジェクトにある「virus」、「alert」という文字をそれぞれ「v****」、「a****」にすべて置き換え、ウィルスアラートメールの集まりであることがまったくわからないようにしてみても変わらない。わけがわからない。
ウィルス対策担当に頼んで、マカフィーに問い合わせをしてもらった。回答はこうだったそうだ。
「フリーソフト(注:正確にはBecky!はシェアウェアであるが)のデータフォーマットについてはサポートできません。」――はあ?
ウィルス対策ソフトはあらゆるデータパターンを検査対象とするのではないのか。あるデータパターン(それも単純なテキストファイル)のウィルス検査に異様に時間がかかると言われたら、まず製品の問題を疑って調査すべきではないのか。そうなることがやむを得ない理由があるなら、それをユーザーに説明すべきではないのか。
製品について不便を訴えているユーザーに対する、これがマカフィーのスタンスらしい。
2005年4月に、トレンドマイクロのウイルスバスターのウィルス定義にバグがあり、それを取り込んだPCがCPU使用率100%の状態に陥るという騒ぎがあった。VirusScanでbmfファイルのウィルス検査に異様に時間がかかるのも、ウィルス定義に何らかの問題があるからではないかと私は思っている。
ウイルスバスターのトラブルの被害は私も受けた。夜のテレビニュースで知るまで原因がわからず、いろいろいじった末にWindowsの再インストールをやる羽目になった。トレンドマイクロに申告して、契約期間3ヶ月延長の補償を受けた。
こういうことがあっても、私はウイルスバスターを使い続けている。トレンドマイクロの一度のミスくらいでウイルスバスターの使いやすさ、動きの軽さという利点を捨てる気にはなれないからである。そして、トレンドマイクロはあのような重大なミスを決して繰り返さないと信じているからでもある。
(続編)
やっぱりMcAfee VirusScanのウィルス定義のバグ
0 件のコメント:
コメントを投稿