ソニーBMG製CD XCP問題

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内検索

ソニーBMG製CD XCP問題(-ビーエムジーせいコンパクトディスク エックスシーピーもんだい)とは、アメリカ合衆国のソニーBMGミュージックエンターテインメント(現:ソニー・ミュージックエンタテインメント (米国))の音楽CDに採用された米SunnComm Technologiesソフトウェアに、マルウェアであるrootkitが含まれていた問題。ユーザーのPCのセキュリティを脆弱にするソフトウェアが、ユーザの同意を得ずに隠密にインストールされることなどが問題視された。

概要[編集]

2005年10月に、コピーコントロールCD (CCCD,セキュアCD) の米SunnComm Technologiesセキュリティ技術に脆弱性が発見された。このCCCDをWindowsパソコンに入れてソフトウェア『XCP』のインストールに同意すると、rootkitプログラムをインストールすることになり、更にXCPのアンインストールが不可能だという指摘がなされ、世界中から非難を浴び訴訟問題へと発展した。このソフトの問題が発覚した後にマイクロソフトは、XCPを悪質なソフトウェアとして認定している。ちなみにソニーBMG側はこのソフトを完全に削除するツールをMSと協力して提供した。

なおソニー・ミュージックエンタテインメント(SMEJ)やBMGジャパンから発売される日本盤はCCCDは採用していない(海外版・輸入盤で後述のリスト内のCDには注意が必要)。だが、ある調査によると[1]、少なくとも568,200のネットワークにこのソニーのマルウェアに感染したコンピュータがあり、日本が21万7000台以上とアメリカの13万台以上を圧倒しているため、一部日本人ユーザーの間でそれ以外のCCCDにも同様の問題がないかと心配する声が盛り上がった[要出典]

また、この事件を期にハッカー達が米SonyBMG製を含む各種製品を解析した結果、同様の米SunnComm Technologies製コピープロテクト「MediaMax」が見つかった。このMediaMaxは、Microsoft Windowsのみならず、MacOS Xにも感染する能力を持ち、XCPよりも遙かに深刻な問題を含むという結果が報告された。これらのマルウェア群を総称したものは、その悪質な性質からソニーウイルスと呼ばれることもある。

Amazon.co.jpタワーレコードなどでは「XCP」入りのCD購入者に対し返金を行っている。

2005年12月8日にはインストールされたXCPを悪用しAntinnyを投下するウイルスも報告された。

「XCP」について、株式会社ソニー・ミュージックエンタテインメント(SMEJ)が見解を出している。

問題になっている点[編集]

  • Windows搭載コンピュータで使うときにインストールされるプログラムの利用規約に 『rootkitをインストールします』と明確に書かれていない。つまりユーザーの同意を得ていないプログラムもインストールしている点。
  • SunnComm Technologies製のプログラムだけではなく、$sys$ が先頭についているファイルやプロセス等が隠蔽される。これにより視覚的に隠蔽されるだけでなく、セキュリティソフトなどにも検知されない点。
  • プログラムをシステム上でアンインストールせず単に手動で削除しようとすると、CDドライブが認識されなくなる点。
  • 隠蔽行為を解除するためにリリースした最初期のSunnComm Technologies製プログラム(ActiveX版)にどのサイトからも任意のコードを実行できるという重大な脆弱性が含まれていた点。
  • 上記プログラムを入手するには、ソニーBMG 側に個人情報を提供する必要があった点。
  • AppleiTunesに採用されているDRM「FairPlay」を回避するためツールのコードを流用したという疑惑[2]
  • 著作権という知的財産権の保護の名の下に、許諾したユーザーの財産であるパソコンの内容を改竄してユーザーの財産権を侵害している点。

事件の経緯[編集]

  • 2005年10月31日 - Winternals社マーク・ルシノビッチが、ソニーBMGのXCP Technologyを採用した米国国内向けCCCDにrootkitが入っていて容易に削除できないなどの問題があることを指摘[3]
  • 2005年11月1日 - 米国カリフォルニア州で消費者団体が、問題のCDの販売差し止めと損害賠償を求める訴えを起こす。
  • 2005年11月2日 - ソニーBMGがこれをうけてツールをリリースする。当初は、プログラムのアンインストールツールとされていたが、実際はプロセスなどの隠蔽を停止するツールだったことが明らかになる。
  • 2005年11月4日 - ソニーBMGがリリースしたパッチをインストールするとコンピュータがクラッシュする可能性があることを専門家が指摘する。また、XCPが勝手にWeb通信しているとも指摘する。[4]
  • 2005年11月10日 - ソニーBMGのCDにLAMEのソースを流用した形跡があることが報じられる[5]。これが事実ならLGPLに違反する。
  • 2005年11月11日 - ソニーBMGが問題の技術の使われたCDの生産を一時停止すると発表。
  • 2005年11月15日 - プリンストン大学のEd Felten教授が、ソニーBMGがリリースしたこの問題に関するWebベース版のアンインストールツールに重大なセキュリティーホールがあることをブログで明らかにする[6]
  • 2005年11月16日 - ソニーBMGが問題の技術の使われたCDをリコールすると発表。
  • 2005年11月17日 - さらに2件のGPL違反(FAACとmpg123のソース流用)を指摘される[7]
  • 同日 - ソニーBMGのXCPとは別の技術を使ったMediaMaxのアンインストーラーにも重大なセキュリティーホールがあることを指摘される[8]
  • 2005年11月21日 - LAMEプロジェクトがLAMEプロジェクト管理人名義でソニーBMGに対して公開質問状を出す[9]
  • 同日 テキサス州が、ソニーBMGの一部CDに「スパイウェア」が入っていて州法に違反しているとしてソニーBMGを提訴[10]。認められれば、最大で違反1件当たり罰金10万ドル。また、市民団体「電子フロンティア財団(EFF)」がXCPだけでなくMediaMaxを使用したCDもあわせた2400万枚についての損害賠償を請求した。
  • 2005年11月28日 - プリンストン大学のEd Felten教授がMediaMaxプロテクトに関しても、問題があることを指摘する[11]。教授はMediaMaxには旧式のCD-3と新方式のMM-5の2種類があるが、CD-3を入れた後、MM-5を入れるか、MM-5を入れてから、CD-3を入れるか、MM-5を2回入れると、ソフトの利用規約の同意の有無にかかわらず、ドライバがインストールされると主張している。
  • 2006年5月22日 - 米連邦裁判所判事が和解案を最終承認する[12][13]
  • 2006年12月20日 - 米カリフォルニア州の損害賠償訴訟で75万ドルを消費者団体などに支払うことで和解。
  • 2006年12月22日 - 米マサチューセッツ州など40州と425万ドルを支払うことで和解。

出典[編集]

  1. ^ Dan Kaminsky「Welcome To Planet Sony」。2005年11月15日、 DoxPara Research
  2. ^ Sebastian Porst「Two new F4I license infringements found」。2005年11月17日、Programming stuff
  3. ^ Mark Russinovich「Sony, Rootkits and Digital Rights Management Gone Too Far」。2005年10月31日、Mark's Blog
  4. ^ Mark Russinovich「More on Sony: Dangerous Decloaking Patch, EULAs and Phoning Home」。2005年11月4日、Mark's Blog。
  5. ^ SONY BMG製CCCDにLAMEのソースコードを盗用した疑い」。2005年11月12日、スラッシュドット ジャパン
  6. ^ Ed Felten「Sony’s Web-Based Uninstaller Opens a Big Security Hole; Sony to Recall Discs」。2005年11月15日、Freedom to Tinker。
  7. ^ Sebastian Porst「Two new F4I license infringements found」。2005年11月17日、Programming stuff。
  8. ^ Ed Felten「Not Again! Uninstaller for Other Sony DRM Also Opens Huge Security Hole」。2005年11月17日、Freedom to Tinker。
  9. ^ The LAME maintainers「Open letter to Sony BMG (and its owners, Sony and Bertelsmann), First4Internet, and the LAME community.」。2005年11月21日、LAMEプロジェクト。
  10. ^ テキサス州、スパイウェア規制法違反でSONY BMGを提訴」。2005年11月22日、ITmediaニュース。
  11. ^ Ed Felten「MediaMax Permanently Installs and Runs Unwanted Software, Even If User Declines EULA」2005年11月28日、Freedom to Tinker
  12. ^ Judge Grants Final Approval for Sony BMG CD Settlement」。2006年5月22日、Electronic Frontier Foundation。
  13. ^ SONY BMGのrootkit CD訴訟、和解を最終承認」。2006年5月23日、ITmediaニュース。

外部リンク[編集]