ソニーBMG製CD XCP問題

ソニーBMG製CD XCP問題（ソニービーエムジーせいコンパクトディスクエックスシーピーもんだい）とは、アメリカ合衆国のソニーBMGミュージックエンターテインメント（現:ソニー・ミュージックエンタテインメント (米国)）の音楽CDに採用された米SunnComm Technologies製ソフトウェアに、マルウェアであるrootkitが含まれていた問題。ユーザーのPCのセキュリティを脆弱にするソフトウェアが、ユーザの同意を得ずに隠密にインストールされることなどが問題視された。

概要[編集]

2005年 10月に、コピーコントロールCD（CCCD、セキュアCD）の米SunnComm Technologies製セキュリティ技術に脆弱性が発見された。このCCCDをWindowsパソコンに入れて、ソフトウェア『XCP』のインストールに同意すると、rootkitプログラムを勝手にインストールしてしまい、更にXCPのアンインストールが不可能だという指摘がなされ、世界中から非難を浴び、アメリカ合衆国では訴訟へと発展した。このソフトの問題が発覚した後にマイクロソフトは、XCPを悪質なソフトウェアとして認定している。ちなみにソニーBMG側は、このコンピュータプログラムを完全に削除するツールを、マイクロソフトと協力して提供した。

なお、ソニー・ミュージックエンタテインメント（SMEJ）やBMGジャパンから発売される日本盤は、CCCDは採用していない（海外版・輸入盤で後述のリスト内のCDには注意が必要）。だが、ある調査によると^[1]、少なくとも568,200のネットワークにこのソニーのマルウェアに感染したコンピュータがあり、日本が21万7000台以上とアメリカの13万台以上を圧倒しているため、一部日本人ユーザーの間でそれ以外のCCCDにも同様の問題がないかと心配する声が盛り上がった^[要出典]。

また、この事件を期にハッカー達が米SonyBMG製を含む各種製品をリバースエンジニアリングした結果、同様の米SunnComm Technologies製コピープロテクト「MediaMax」が見つかった。このMediaMaxは、Microsoft Windowsのみならず、Mac OS Xにも感染する能力を持ち、XCPよりも遙かに深刻な問題を含むという結果が報告された。

Amazon.co.jpやタワーレコードなどでは「XCP」入りのCD購入者に対し、購入代金の返金を行った。

2005年12月8日には、インストールされたXCPを悪用し『Antinny』を投下するコンピュータウイルスも報告された。

「XCP」について、株式会社ソニー・ミュージックエンタテインメント（SMEJ）が見解を出している。

問題になった点[編集]

Microsoft Windows搭載コンピュータで使うとき、インストールされるプログラムの利用規約に 『rootkitをインストールします』と明示されていない。つまりユーザーの同意を得ていないコンピュータプログラムを、勝手にインストールしている点。
SunnComm Technologies製のプログラムだけではなく、$sys$ が先頭についているファイルやプロセスが隠蔽される。これにより、視覚的に隠蔽されるだけでなく、アンチウイルスソフトウェアにも検知出来ない点。
コンピュータプログラムをコンピュータ設定でアンインストールせず、単に手動で削除しようとすると、光学ドライブが二度と認識されなくなる点。
隠蔽行為を解除するためにリリースした、最初期のSunnComm Technologies製プログラム（ActiveX版）に、どのウェブサイトからも任意のソースコードを実行できるという「重大なセキュリティーホール」が含まれていた点。
上記プログラムを入手するには、ソニーBMGに個人情報を提供する必要があった点。
AppleのiTunesに採用されているデジタル著作権管理「FairPlay」を回避するため、ツールのソースコードを流用したという疑惑^[2]。
著作権という知的財産権の保護の名の下に、許諾したユーザーの財産であるパソコンの内容を改竄し、ユーザーの所有財産権を侵害している点。

事件の経緯[編集]

年	月	日	事柄
2005	10	31	Winternals社マーク・ルシノビッチが、ソニーBMGのXCP Technologyを採用した米国国内向けCCCDにrootkitが入っていて、容易に削除できないなどの問題があることをブログで指摘^[3]。
	11	1	アメリカ合衆国カリフォルニア州で、消費者団体が問題のCDの販売差し止めと、損害賠償を求める民事訴訟を起こす。
		2	ソニーBMGがこれを受けて、パッチツールをリリースする。当初は、プログラムのアンインストールツールとされていたが、実際はプロセスなどの隠蔽を停止する偽装ツールだったことが明らかになる。
		4	ソニーBMGがリリースした修正パッチをインストールすると、コンピュータが破壊される可能性があることを専門家が指摘する。また、XCPが勝手にパケット通信しているとも指摘する^[4]。
		10	ソニーBMGのCDに、LAMEのソースを流用した形跡があることが報じられる^[5]。これが事実ならLGPLに違反する。
		11	ソニーBMGが、問題の技術の使われたCDの生産を一時停止すると発表。
		15	プリンストン大学のEd Felten教授が、ソニーBMGがリリースした、この問題に関するWebベース版のアンインストールツールに、重大なセキュリティーホールがあることを、自らのブログで明らかにする^[6]。
		16	ソニーBMGが、問題の技術の使われたCDをリコールすると発表。
		17	さらに2件のGPL違反（FAACとmpg123のソース流用）を指摘される^[2]。同日ソニーBMGのXCPとは別の技術を使った、MediaMaxのアンインストーラーにも、重大なセキュリティーホールがあることを指摘される^[7]。
		21	LAMEプロジェクトが、LAMEプロジェクト管理人名義でソニーBMGに対して公開質問状を出す^[8]。同日テキサス州が、ソニーBMGの一部CDに「スパイウェア」が入っていて、州法に違反しているとして、ソニーBMGを提訴^[9]。認められれば、最大で違反1件当たり罰金10万ドル。また、市民団体「電子フロンティア財団（EFF）」が、XCPだけでなく、MediaMaxを使用したCDも合わせた、2400万枚についての損害賠償を請求した。
		28	プリンストン大学のEd Felten教授が、MediaMaxプロテクトに関しても、問題があることを指摘する^[10]。教授は、MediaMaxには旧式のCD-3と新方式のMM-5の2種類があるが、CD-3を入れた後、MM-5を入れるか、MM-5を入れてから、CD-3を入れるか、MM-5を2回入れると、ソフトの利用規約の同意の有無にかかわらず、ドライバがインストールされると主張している。
2006	5	22	米連邦裁判所判事が、和解案を最終承認する^[11]^[12]。
	12	20	米カリフォルニア州の損害賠償訴訟で、75万ドルを消費者団体などに支払うことで和解。
	12	22	米マサチューセッツ州など、40州と425万ドルを支払うことで和解。

脚注[編集]

[脚注の使い方]

^ Dan Kaminsky「Welcome To Planet Sony」。2005年11月15日、 DoxPara Research。
^ ^a ^b Sebastian Porst「Two new F4I license infringements found」。2005年11月17日、Programming stuff
^ Mark Russinovich「Sony, Rootkits and Digital Rights Management Gone Too Far」。2005年10月31日、Mark's Blog。
^ Mark Russinovich「More on Sony: Dangerous Decloaking Patch, EULAs and Phoning Home」。2005年11月4日、Mark's Blog。
^ 「SONY BMG製CCCDにLAMEのソースコードを盗用した疑い」。2005年11月12日、スラッシュドットジャパン。
^ Ed Felten「Sony’s Web-Based Uninstaller Opens a Big Security Hole; Sony to Recall Discs」。2005年11月15日、Freedom to Tinker。
^ Ed Felten「Not Again! Uninstaller for Other Sony DRM Also Opens Huge Security Hole」。2005年11月17日、Freedom to Tinker。
^ The LAME maintainers「Open letter to Sony BMG (and its owners, Sony and Bertelsmann), First4Internet, and the LAME community.」。2005年11月21日、LAMEプロジェクト。
^ 「テキサス州、スパイウェア規制法違反でSONY BMGを提訴」。2005年11月22日、ITmediaニュース。
^ Ed Felten「MediaMax Permanently Installs and Runs Unwanted Software, Even If User Declines EULA」2005年11月28日、Freedom to Tinker
^ 「Judge Grants Final Approval for Sony BMG CD Settlement」。2006年5月22日、Electronic Frontier Foundation。
^ 「SONY BMGのrootkit CD訴訟、和解を最終承認」。2006年5月23日、ITmediaニュース。

外部リンク[編集]

F-Secure blog（ソニーBMG CCCD問題を一番早くに見つけたセキュリティ会社）（英語）
「XCP」入りCDタイトル一覧SONY BMG Archived 2008-12-24 at the Wayback Machine. （英語）
「XCP」収録CDタイトル一覧（（株）ソニー・ミュージックジャパンインターナショナル輸入分のみ）（日本語）
米国SONY BMG発売商品における対応に関するお知らせ（日本語）

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

この項目は、音楽に関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（ポータル音楽/ウィキプロジェクト音楽）。

[1] Dan Kaminsky「Welcome To Planet Sony」。2005年11月15日、 DoxPara Research。

[interweb-2] Sebastian Porst「Two new F4I license infringements found」。2005年11月17日、Programming stuff

[3] Mark Russinovich「Sony, Rootkits and Digital Rights Management Gone Too Far」。2005年10月31日、Mark's Blog。

[4] Mark Russinovich「More on Sony: Dangerous Decloaking Patch, EULAs and Phoning Home」。2005年11月4日、Mark's Blog。

[5] 「SONY BMG製CCCDにLAMEのソースコードを盗用した疑い」。2005年11月12日、スラッシュドットジャパン。

[6] Ed Felten「Sony’s Web-Based Uninstaller Opens a Big Security Hole; Sony to Recall Discs」。2005年11月15日、Freedom to Tinker。

[7] Ed Felten「Not Again! Uninstaller for Other Sony DRM Also Opens Huge Security Hole」。2005年11月17日、Freedom to Tinker。

[8] The LAME maintainers「Open letter to Sony BMG (and its owners, Sony and Bertelsmann), First4Internet, and the LAME community.」。2005年11月21日、LAMEプロジェクト。

[9] 「テキサス州、スパイウェア規制法違反でSONY BMGを提訴」。2005年11月22日、ITmediaニュース。

[10] Ed Felten「MediaMax Permanently Installs and Runs Unwanted Software, Even If User Declines EULA」2005年11月28日、Freedom to Tinker

[11] 「Judge Grants Final Approval for Sony BMG CD Settlement」。2006年5月22日、Electronic Frontier Foundation。

[12] 「SONY BMGのrootkit CD訴訟、和解を最終承認」。2006年5月23日、ITmediaニュース。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]