ソニーBMG製CD XCP問題

ソニーBMG製CD XCP問題（-ビーエムジーせいコンパクトディスク エックスシーピーもんだい）とは、アメリカ合衆国のソニーBMGミュージックエンターテインメント(現:ソニー・ミュージックエンタテインメント (米国))の音楽CDに採用された米SunnComm Technologies製ソフトウェアに、マルウェアであるrootkitが含まれていた問題。ユーザーのPCのセキュリティを脆弱にするソフトウェアが、ユーザの同意を得ずに隠密にインストールされることなどが問題視された。

概要

2005年10月に、コピーコントロールCD (CCCD,セキュアCD) の米SunnComm Technologies製セキュリティ技術に脆弱性が発見された。このCCCDをWindowsパソコンに入れてソフトウェア『XCP』のインストールに同意すると、rootkitプログラムをインストールすることになり、更にXCPのアンインストールが不可能だという指摘がなされ、世界中から非難を浴び訴訟問題へと発展した。このソフトの問題が発覚した後にマイクロソフトは、XCPを悪質なソフトウェアとして認定している。ちなみにソニーBMG側はこのソフトを完全に削除するツールをMSと協力して提供した。

なおソニー・ミュージックエンタテインメント(SMEJ)やBMGジャパンから発売される日本盤はCCCDは採用していない（海外版・輸入盤で後述のリスト内のCDには注意が必要）。だが、ある調査によると^[1]、少なくとも568,200のネットワークにこのソニーのマルウェアに感染したコンピュータがあり、日本が21万7000台以上とアメリカの13万台以上を圧倒しているため、一部日本人ユーザーの間でそれ以外のCCCDにも同様の問題がないかと心配する声が盛り上がった^[要出典]。

また、この事件を期にハッカー達が米SonyBMG製を含む各種製品を解析した結果、同様の米SunnComm Technologies製コピープロテクト「MediaMax」が見つかった。このMediaMaxは、Microsoft Windowsのみならず、MacOS Xにも感染する能力を持ち、XCPよりも遙かに深刻な問題を含むという結果が報告された。

Amazon.co.jpやタワーレコードなどでは「XCP」入りのCD購入者に対し返金を行っている。

2005年12月8日にはインストールされたXCPを悪用しAntinnyを投下するウイルスも報告された。

「XCP」について、株式会社ソニー・ミュージックエンタテインメント(SMEJ)が見解を出している。

問題になっている点

• Windows搭載コンピュータで使うときにインストールされるプログラムの利用規約に 『rootkitをインストールします』と明確に書かれていない。つまりユーザーの同意を得ていないプログラムもインストールしている点。
• SunnComm Technologies製のプログラムだけではなく、$sys$ が先頭についているファイルやプロセス等が隠蔽される。これにより視覚的に隠蔽されるだけでなく、セキュリティソフトなどにも検知されない点。
• プログラムをシステム上でアンインストールせず単に手動で削除しようとすると、CDドライブが認識されなくなる点。
• 隠蔽行為を解除するためにリリースした最初期のSunnComm Technologies製プログラム（ActiveX版）にどのサイトからも任意のコードを実行できるという重大な脆弱性が含まれていた点。
• 上記プログラムを入手するには、ソニーBMG 側に個人情報を提供する必要があった点。
• AppleのiTunesに採用されているDRM「FairPlay」を回避するためツールのコードを流用したという疑惑^[2]。
• 著作権という知的財産権の保護の名の下に、許諾したユーザーの財産であるパソコンの内容を改竄してユーザーの財産権を侵害している点。

事件の経緯

• 2005年10月31日 - Winternals社マーク・ルシノビッチが、ソニーBMGのXCP Technologyを採用した米国国内向けCCCDにrootkitが入っていて、容易に削除できないなどの問題があることを指摘^[3]。
• 2005年11月1日 - 米国カリフォルニア州で、消費者団体が問題のCDの販売差し止めと、損害賠償を求める民事訴訟を起こす。
• 2005年11月2日 - ソニーBMGがこれを受けて、ツールをリリースする。当初は、プログラムのアンインストールツールとされていたが、実際はプロセスなどの隠蔽を停止するツールだったことが明らかになる。
• 2005年11月4日 - ソニーBMGがリリースした修正パッチをインストールすると、コンピュータが破壊される可能性があることを専門家が指摘する。また、XCPが勝手にWeb通信しているとも指摘する^[4]。
• 2005年11月10日 - ソニーBMGのCDに、LAMEのソースを流用した形跡があることが報じられる^[5]。これが事実ならLGPLに違反する。
• 2005年11月11日 - ソニーBMGが、問題の技術の使われたCDの生産を一時停止すると発表。
• 2005年11月15日 - プリンストン大学のEd Felten教授が、ソニーBMGがリリースした、この問題に関するWebベース版のアンインストールツールに、重大なセキュリティーホールがあることを、自らのブログで明らかにする^[6]。
• 2005年11月16日 - ソニーBMGが、問題の技術の使われたCDをリコールすると発表。
• 2005年11月17日 - さらに2件のGPL違反（FAACとmpg123のソース流用）を指摘される^[7]。
• 同日 - ソニーBMGのXCPとは別の技術を使った、MediaMaxのアンインストーラーにも、重大なセキュリティーホールがあることを指摘される^[8]。
• 2005年11月21日 - LAMEプロジェクトが、LAMEプロジェクト管理人名義でソニーBMGに対して公開質問状を出す^[9]。
• 同日 テキサス州が、ソニーBMGの一部CDに「スパイウェア」が入っていて、州法に違反しているとして、ソニーBMGを提訴^[10]。認められれば、最大で違反1件当たり罰金10万ドル。また、市民団体「電子フロンティア財団(EFF)」が、XCPだけでなく、MediaMaxを使用したCDも合わせた、2400万枚についての損害賠償を請求した。
• 2005年11月28日 - プリンストン大学のEd Felten教授が、MediaMaxプロテクトに関しても、問題があることを指摘する^[11]。教授は、MediaMaxには旧式のCD-3と新方式のMM-5の2種類があるが、CD-3を入れた後、MM-5を入れるか、MM-5を入れてから、CD-3を入れるか、MM-5を2回入れると、ソフトの利用規約の同意の有無にかかわらず、ドライバがインストールされると主張している。
• 2006年5月22日 - 米連邦裁判所判事が、和解案を最終承認する^[12][13]。
• 2006年12月20日 - 米カリフォルニア州の損害賠償訴訟で、75万ドルを消費者団体などに支払うことで和解。
• 2006年12月22日 - 米マサチューセッツ州など、40州と425万ドルを支払うことで和解。

出典

外部リンク

ウィキニュースに関連記事があります。

• 米SONY BMGの音楽CD、パソコンの安全を脅かす

• F-Secure blog（ソニーBMG CCCD問題を一番早くに見つけたセキュリティ会社）（英語）
• 「XCP」入りCDタイトル一覧SONY BMG（英語）
• 「XCP」収録CDタイトル一覧 ((株)ソニー・ミュージックジャパンインターナショナル 輸入分のみ )（日本語）
• 米国SONY BMG発売商品における対応に関するお知らせ（日本語）

表 話 編 歴
ソニー	ソニーネットワークコミュニケーションズ SMN ソニーエナジー・デバイス ソニー・オリンパスメディカルソリューションズ ソニーグローバルマニュファクチャリング&オペレーションズ ソニーデジタルネットワークアプリケーションズ ソニーPCL ソニーマーケティング フロンテッジ フェリカネットワークス ジャパン・アドバンスト・セミコンダクター・マニュファクチャリング（JASM）
ソニー・ エンタテインメント	表 話 編 歴 ソニー・ピクチャーズ エンタテインメント ソニー・ピクチャーズ モーション ピクチャー グループ コロンビア ピクチャーズ トライスター ピクチャーズ トライスター・プロダクションズ スクリーン ジェムズ ソニー・ピクチャーズ クラシックス ソニー・ピクチャーズ・イメージワークス ソニー・ピクチャーズ アニメーション ソニー・ピクチャーズ・ワールドワイド・アクイジションズ アファーム フィルムズ デスティネーション・フィルムズ ステージ 6 フィルムズ ソニー・ピクチャーズ ホームエンタテインメント ソニー・ピクチャーズ リリーシング コロンビア・ピクチャーズ・アクアバース ソニー・ピクチャーズ テレビジョン GSN AXN Crunchyroll ソニー・ピクチャーズ エンタテインメントジャパン カテゴリ ソニー・ミュージック エンタテインメント (米国) コロムビア・レコード RCAレコード エピック・レコード ソニー・クラシカル レガシー・レコーディングス ミニストリー・オブ・サウンド Gracenote VEVO アーティスト&ミュージックビジネス ソニー・ミュージックパブリッシング ソニー・ミュージックエンタテインメント・ジャーマニー
ソニー・ミュージック エンタテインメント (日本)	表 話 編 歴 ソニー・ミュージックエンタテインメント（ジャパン） レーベル ソニー・ミュージックレーベルズ ソニー・ミュージックレコーズ エスエムイーレコーズ ソニー・ミュージックアソシエイテッドレコーズ TRUE KiSS DiSC SACRA MUSIC アリオラジャパン エピックレコードジャパン キューンミュージック Rojam Entertainment ソニー・ミュージックジャパンインターナショナル ソニー・ミュージックダイレクト アルファミュージック（音楽レーベル、一部のアーティストを除く） FUNSUI アーティスト＆ ミュージックビジネス ソニー・ミュージックアーティスツ ソニー・ミュージックパブリッシング ミュージックレイン ソニー・ミュージックマーケティングユナイテッド 次世代 ビジュアル＆ キャラクタービジネス アニプレックス A-1 Pictures CloverWorks Boundary ラセングル ソニー・クリエイティブプロダクツ フォワードワークス Crunchyroll エンタテインメント ソリューションビジネス ソニー・ミュージックソリューションズ ソニー・ミュージックスタジオ エムオン・エンタテインメント Zeppホールネットワーク - Zeppライブ 関連会社 乃木坂46合同会社 Seed & Flower合同会社 バズウェーブ合同会社 アルファミュージック ブックリスタ 過去のグループ会社 ジャレード ダブル・オーレコード ボイスアンドハート BMGジャパン ソニー・マガジンズ デフスターレコーズ ソニーDADCジャパン レーベルゲート 関連項目 ソニーグループ ソニー・ミュージックエンタテインメント 米国 ドイツ THE FIRST TAKE MUSIC ON! TV Stagecrowd 関連カテゴリ アーティスト シングル アルバム 映像作品 ゲームソフト カテゴリ
ソニー・インタラクティブ エンタテインメント	表 話 編 歴 ソニー・インタラクティブエンタテインメント 主な製品 プラットフォーム PlayStation toio IP けだまのゴンじろー Bラッパーズ ストリート State of Play 開発部門・グループ会社 Bungie, Inc. Gaikai SN Systems 表 話 編 歴 SIEワールドワイド・スタジオ アジア Team ASOBI ポリフォニー・デジタル 北アメリカ ノーティードッグ サンタモニカスタジオ ベンドスタジオ サンディエゴスタジオ サンマテオスタジオ Pixelopus サッカーパンチプロダクションズ インソムニアックゲームズ ブルーポイントゲーム Valkyrie Entertainment Haven Entertainment Studios Bungie ヨーロッパ ゲリラゲームズ メディアモレキュール Sony XDev Europe Housemarque Firesprite Nixxes Software Savage Game Studios 閉鎖 989スタジオ ビッグビッグスタジオ インコグニート スタジオリバプール ジッパーインタラクティブ ゲリラケンブリッジ Evolution Studios マンチェスタースタジオ ジャパンスタジオ Pixelopus ロンドンスタジオ フラン チャイズ アンチャーテッド inFAMOUS 怪盗スライ・クーパー KILLZONE グランツーリスモ ゲッタウェイ ゴッド・オブ・ウォー サイフォンフィルター SIREN サルゲッチュ ジャック×ダクスター SOCOM Twisted Metal どこでもいっしょ パタポン みんなのGOLF MedEvil MotorStorm ラチェット&クランク リトルビッグプラネット RESISTANCE Wipeout ワイルドアームズ 過去 ソニーオンラインエンタテインメント アーク・エンタテインメント シュガーアンドロケッツ（エグザクト） コントレイル ディープスペース セリウス OnLive 表 話 編 歴 ソニー・インタラクティブエンタテインメントの家庭用ゲーム機 プラットフォーム 据置型 PS ソフト PS2 ソフト PS3 システム ソフト ゲームアーカイブス PSP Remaster 歴史 PS4 システム ソフト PS5 ソフト 携帯型 PocketStation PSP システム ソフト ゲームアーカイブス PS Vita システム ソフト ゲームアーカイブス PS one PS one Books PSX PSP go PS Vita TV PS Classic サービス SEN/PSN PS Store PS Home トロフィー アドホック・パーティー PS Plus PS Mobile PS Now PS Awards PS CLUB PS BB PSランドの大冒険 PS Spot プレコミュ Jスタとあそぼう 周辺機器 PS DUALSHOCK ネットやろうぜ! PS2 DUALSHOCK 2 EyeToy Popegg PS2 Linux HDDユニット/BB Unit PS3 DUALSHOCK 3 PS Eye PS Move torne nasne PS4 DUALSHOCK 4 PS Camera PS Move PS VR nasne PS5 DualSense PS VR PS VR2 PSP ちょっとショット GPSレシーバー PS Vita nasne 関連項目 人物 久夛良木健 丸山茂雄 後藤禎祐 平井一夫 吉田修平 マーク・サーニー アンドリュー・ハウス プロセッサー PS2 Emotion Engine Graphics Synthesizer PS3 Cell Broadband Engine RSX Reality Synthesizer PS5 Ryzen Radeon 東芝 IBM AMD キャラクター 井上トロ ピポサル カテゴリ コモンズ 任天堂 ソニー セガ NEC 左記以外 カテゴリ
ソニーフィナンシャルグループ	ソニー生命 ソニー損保 ソニー銀行 ソニーライフ・エイゴン生命 ソニーペイメントサービス
ソニーセミコンダクタソリューションズ	ソニーセミコンダクタマニュファクチャリング
その他の会社	ソニーコンピュータサイエンス研究所 SREホールディングス エアロセンス エムスリー ブックリスタ ソニー・コーポレーション・オブ・アメリカ Sony Creative Software ソニー・ホンダモビリティ
過去のグループ会社	ソニーモバイルコミュニケーションズ ソニーイメージングプロダクツ&ソリューションズ ソニーホームエンタテインメント&サウンドプロダクツ ソニービジュアルプロダクツ ソニービデオ&サウンドプロダクツ ソニーエレクトロニクス ソニーファイナンスインターナショナル コアエッジ スタイリングライフグループ デクセリアルズ VAIO ソニービジネスソリューション ソニー・ミュージックコミュニケーションズ レーベルゲート ソニーDADCジャパン ソニーバンク証券 ファニメーション AnimeLab
主な製品・ブランド	ロボット（aibo） α BETACAM Blu-ray ブラビア BDZ CD サイバーショット DAT NT DVD SACD ハンディカム HDCAM/HDCAM-SR ICレコーダー Reader メモリースティック ミニディスク DV PlayStation FeliCa S/PDIF UMD 8ミリビデオ ウォークマン XDCAM Xperia So-net 360 Reality Audio
過去の 主な製品・ブランド	ロボット（QRIO） Skysensor ベータマックス CLIE ジャンボトロン デジタルマビカ QUALIA トリニトロン Uマチック WEGA mylo ロケーションフリー NETJUKE VAIO Sony Tablet アイワ ソニーマイクロトレーン
関連団体	ソニー教育財団 学校法人ソニー学園 ソニーHC BRAVIA Ladies ソニー仙台FC ソニーセミコンダクタマニュファクチャリング BLUE SAKUYA コロンビア・ピクチャーズ・アクアバース
出来事	ソニーチョコレート事件 ゲートキーパー問題 デビッド・マニング事件 コピーコントロールCD ソニーBMG製CD XCP問題 PlayStation Network個人情報流出事件 SPEへのハッキング事件
主な人物	井深大 盛田昭夫 岩間和夫 大賀典雄 出井伸之 盛田正明 ハワード・ストリンガー 久夛良木健 黒木靖夫 平井一夫
カテゴリ コモンズ

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

• 表示
• 編集

この項目は、音楽に関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（ポータル 音楽/ウィキプロジェクト 音楽）。

• 表示
• 編集