« Windows修正パッチで新たな不具合が( >_ < ;) | トップページ | 知的財産の保護と過保護 »

2005/04/30

自動アップデートとシステムクラッシュ

 トレンドマイクロ社が4/23に公開した パターンファイルの不具合が引き起こした問題 (当サイトでは594事件とでも呼ぶことにしよう)は 自動更新機能を使うべきか否かという議論がいくつかのサイトでされている。

 実は、アップデートファイルに関する不具合は今までにも起きている。 Windowsのサービスパックや修正パッチを適用してアップデートすると 動作が不安定になったり、またOSが起動しなくなってしまうことがある。 一部のメーカー製PCや、特定のパーツを組み込んであるPCで起動しなくなる といった情報を目にすることも珍しくない。
Windows XP Service Pack 2 のインストールを完了するために コンピュータを再起動すると、コンピュータが応答を停止する。(MS)
特にSPのアップグレードインストールは不具合を招くことが多い。 (当然といわれればそれまでだが)
また、Symantec社にもアップデートによる不具合が過去にあった。
2003年6月19日付けの .xdb ファイルの不具合に関して(Symantec)
Symantec、Norton AntiVirusにブルースクリーンを引き起こす脆弱性(Internet Watch)
NIS2005でもアップデートを行ったことで 不具合がでたという話を聞いたことがあるし わたし自身も経験している。
話が脱線するがNISはインストール時の設定を間違ったり、 何か不具合がおきたときに下手に手を出すと アンインストールも再インストールもできなくなる。 NISを使うときはインストールの前にマニュアルを全て読み、 トラブルが起きたら自分で解決しようとするのではなく、 素直にSymantecのサポートに連絡を取ることをお勧めする。

 話を元に戻すとアップデートが原因で引き起こされる不具合は 珍しいことではないことがわかると思う。 今回の594事件はたまたま大きく報道されただけだ。
594事件によってトレンドマイクロだけでなく 他の企業のテスト体制も強化されるだろう。 それでもミスか完全になくなることはないだろう。
率直に言ってしまえば、 システムに関連するコンポーネントのアップデートには 常にシステムクラッシュの可能性があるわけだ。

では、自動アップデートは利用しないほうがいいのだろうか? ←本題

 これはとても難しい問題だ。
ゼロデイアタックが現実味を帯びてきた今、 パッチの適用の遅れはウィルスの感染へ直結する。 セキュリティパッチは迅速に適用したほうがよい。 が、パッチの適用はシステムクラッシュの可能性が・・・・
本題に対する答えは状況と人、 そしてアップデートの種類によって異なってくる。

1.月例パッチ
MSが毎月公開するセキュリティ情報や、臨時にリリースされるパッチなど それほど更新頻度が高くないもの。

わたし個人にとってはNOである。 実際、わたしはWindowsの自動更新機能は全て無効にしているし、 WindowsUpdateも利用しない。 (そもそもサービスを殺しているのでこれらの機能は使えない) 普段使う環境までセットアップするために30時間かかる わたしの環境ではシステムクラッシュしたら「眩暈がする」ではすまない。
修正パッチはMS-TechNetやSecurityFocusを定期的に巡回しているので そこで情報を集めて適用するかどうかを決めるようにしている。 情けないことに語学力が低く、技術力も低いために Securityfocusの内容を全て理解することはできないが、 Vulnerabilityesは脆弱性の概要と対策が書いてあるので参考になる。 Vulnerabilityesを読み、時間があるときにNewsの関係があると思う トピックに目を通すだけでもだいぶ違ってくる。
脆弱性を引き起こす原因がわかればパッチが出ていなくても、 またパッチが新たな不具合を引き起こしてしまうときも OSの設定を見直すことで対処できることもあるからだ。

 管理者、あるいは開発者クラスのユーザであれば自動更新は無効にしたほうがいいだろう。 もちろん発見された穴や攻撃法に対して何も攻撃を取らないという意味ではない。 自分で情報を集めた上で対策を決めたほうがよいということだ。 火壁で外部と隔離しパケット/ポートフィルタリングくらいのことはしているだろうから、 対策をとるまでは不用意に外部にアクセスしない開かない といった行動をとることで被害から身を守ることもできるだろう。
そして、情報を集めてから適用するか否かを判断するので システムクラッシュを回避することができる。

 一方で、自分で情報を判断することができないユーザや 知識がなくシステムの設定が自分では行えないユーザは自動更新を用いるべきだ。 パッチによるシステムクラッシュからは回避できても 地雷を踏んでしまえばシステム再セットアップは免れない。 感染してしまえば自分が加害者になるのだ。 情報が漏洩してしまうかもしれない。 パッチによるクラッシュの確立と地雷を踏む確立、 初心者ユーザにとっては後者のほうが高いのだから クラッシュする可能性には目をつぶってパッチを当ててしまったほうがいいだろう。

2.サービスパック

 このようにシステムに大きく変更を加えるプログラムは 知識や技術のあるなしにかかわらず、しばらく様子を見たほうがいいだろう。 これも面倒だから先延ばしにするというのではなく、 ハードウェアベンダー、ソフトウェアベンダーなど周囲の対応を待つのである。
パソコンはハードと基本ソフトだけではただの箱だ。 アプリケーションが動作して初めてさまざまな作業を行えるのだから、 それらが対応していないのにインストールしてしまっては トラブルに遭遇する可能性が高くなってしまう。
適用したものの動かないから元に戻そうでは業務が大幅に遅れてしまう。 そうならないためにも周囲の対応を待ち、情報が出揃うのを待つほうが得策だ。 この間に自分の環境で動作するかを調べ、準備を進めておく。 そして、ベンダーが対応したら移行する。
不幸にもこのときにトラブルが発生してしまったら ハードウェアの構成、インストールしたソフト、 表示されたエラーメッセージを添えてサポート先に連絡しよう。 もしかしたら新しい修正に繋がるかもしれない。

3.日常的に配布されるパッチ

 セキュリティソフトの更新はたいていこのパターンだろう。 1日に何度も更新されることがあるセキュリティソフトのパッチ。 PCを複数台持っているならサブマシンで確認してからインストールできるが そうでない場合は自分で動作を検証するのは難しい。
いざというときのために対処法を確認しておき、 自動アップデートを利用するのがいいのではないだろうか?
ソフトベンダーもマニュアルにアップデートで不具合が生じたときの 対処方法を記載しておくべきである。 正常な状態へロールバックできるようにアップデートファイルを 手動でDLできるようにしておくこともユーザへの配慮であろう。
また、SymantecはNAVのウィルス定義ファイルを手動でDLすることができる。 こちらをダウンロードして、動作確認が取れたものを保存しておき 新しい定義ファイルで問題が起きたら 以前の定義ファイルにロールバックできるようにしておくのもお勧めだ。

 一番難しいのは日常的に配布されるセキュリティソフトのパッチだろう。 ユーザーサイドで確認することが難しいという現状がある以上、 アップデートでトラブルが起きてしまったときの対処法を メーカーが確立する必要があるのではないだろうか? トレンドマイクロのサイト では594事件の解決方法が示されているが "C:"などといわれてもわからないユーザーも(信じられないだろうが) 中にはいるのだ(*現在はツールが配布されています)。 そもそもOSが通常起動できない状態で Web先に対策を掲載されても確かめようがない。
プログラムを作るのも人間なのだからミスはある。 それが致命的なものになりうる場合はあらかじめ対応できる機能、 たとえば出荷時やスナップショットをとったの状態に戻す ロールバック機能、などを持たせておく必要があるのではなかろうか。

また、OSのサービスパックについてもできるだけ互換性を持たせることが求められる。
繰り返しになるがマシンとOSだけではパソコンはただの箱なのである。 サービスパックで互換性が失われるとしたら、 ハードウェアベンダーおよびソフトベンダーが対応するまでの間は サービスパックを適用したくてもできない状況になる。 ベンダーにはこれらのことを理解したうえでリリースしていただきたい。

|

« Windows修正パッチで新たな不具合が( >_ < ;) | トップページ | 知的財産の保護と過保護 »

コメント

追記:
なぜ自動更新を利用しないのかと質問があったのでそれについて追記します。
自動更新を有効にしていると、作業中に適用されてしまったときに再起動を強制されるためにかなり不便です。また、本文中にあるようにFixに新たな不具合が含まれているかもしれません。このときに勝手に適用されてしまっては困ります。以上の2点から自動更新は無効にしています。
WindowsUpdateについては、わたしはJavaScript/Java/ActiveX DL/ActiveX実行 全てを禁止しています。かつてMSNのサイトから広まったウィルスがあるようにどんな大手のサイトであっても絶対に安全ということはありえないという見解からこれらの実行を許可することはありません。WindowsUpdateではActiveXが必須ですからこれが無効になっているわたしの環境では利用できなくなっているのです。

投稿: Fomalhaut | 2005/05/04 21時29分

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/103108/3919720

この記事へのトラックバック一覧です: 自動アップデートとシステムクラッシュ:

« Windows修正パッチで新たな不具合が( >_ < ;) | トップページ | 知的財産の保護と過保護 »