ソニーBMG製CD XCP問題
ソニーBMG製CD XCP問題(ソニービーエムジーせいコンパクトディスク エックスシーピーもんだい)とは、アメリカ合衆国のソニーBMGミュージックエンターテインメント(現:ソニー・ミュージックエンタテインメント (米国))の音楽CDに採用された米SunnComm Technologies製ソフトウェアに、マルウェアであるrootkitが含まれていた問題。ユーザーのPCのセキュリティを脆弱にするソフトウェアが、ユーザの同意を得ずに隠密にインストールされることなどが問題視された。
概要
[編集]2005年10月に、コピーコントロールCD(CCCD、セキュアCD)の米SunnComm Technologies製セキュリティ技術に脆弱性が発見された。このCCCDをWindowsパソコンに入れて、ソフトウェア『XCP』のインストールに同意すると、rootkitプログラムを勝手にインストールしてしまい、更にXCPのアンインストールが不可能だという指摘がなされ、世界中から非難を浴び、アメリカ合衆国では訴訟へと発展した。このソフトの問題が発覚した後にマイクロソフトは、XCPを悪質なソフトウェアとして認定している。ちなみにソニーBMG側は、このコンピュータプログラムを完全に削除するツールを、マイクロソフトと協力して提供した。
なお、ソニー・ミュージックエンタテインメント(SMEJ)やBMGジャパンから発売される日本盤は、CCCDは採用していない(海外版・輸入盤で後述のリスト内のCDには注意が必要)。だが、ある調査によると[1]、少なくとも568,200のネットワークにこのソニーのマルウェアに感染したコンピュータがあり、日本が21万7000台以上とアメリカの13万台以上を圧倒しているため、一部日本人ユーザーの間でそれ以外のCCCDにも同様の問題がないかと心配する声が盛り上がった[要出典]。
また、この事件を期にハッカー達が米SonyBMG製を含む各種製品をリバースエンジニアリングした結果、同様の米SunnComm Technologies製コピープロテクト「MediaMax」が見つかった。このMediaMaxは、Microsoft Windowsのみならず、Mac OS Xにも感染する能力を持ち、XCPよりも遙かに深刻な問題を含むという結果が報告された。
Amazon.co.jpやタワーレコードなどでは「XCP」入りのCD購入者に対し、購入代金の返金を行った。
2005年12月8日には、インストールされたXCPを悪用し『Antinny』を投下するコンピュータウイルスも報告された。
「XCP」について、株式会社ソニー・ミュージックエンタテインメント(SMEJ)が見解を出している。
問題になった点
[編集]- Microsoft Windows搭載コンピュータで使うとき、インストールされるプログラムの利用規約に 『rootkitをインストールします』と明示されていない。つまりユーザーの同意を得ていないコンピュータプログラムを、勝手にインストールしている点。
- SunnComm Technologies製のプログラムだけではなく、$sys$ が先頭についているファイルやプロセスが隠蔽される。これにより、視覚的に隠蔽されるだけでなく、アンチウイルスソフトウェアにも検知出来ない点。
- コンピュータプログラムをコンピュータ設定でアンインストールせず、単に手動で削除しようとすると、光学ドライブが二度と認識されなくなる点。
- 隠蔽行為を解除するためにリリースした、最初期のSunnComm Technologies製プログラム(ActiveX版)に、どのウェブサイトからも任意のソースコードを実行できるという「重大なセキュリティーホール」が含まれていた点。
- 上記プログラムを入手するには、ソニーBMGに個人情報を提供する必要があった点。
- AppleのiTunesに採用されているデジタル著作権管理「FairPlay」を回避するため、ツールのソースコードを流用したという疑惑[2]。
- 著作権という知的財産権の保護の名の下に、許諾したユーザーの財産であるパソコンの内容を改竄し、ユーザーの所有財産権を侵害している点。
事件の経緯
[編集]年 | 月 | 日 | 事柄 |
---|---|---|---|
2005 | 10 | 31 | Winternals社マーク・ルシノビッチが、ソニーBMGのXCP Technologyを採用した米国国内向けCCCDにrootkitが入っていて、容易に削除できないなどの問題があることをブログで指摘[3]。 |
11 | 1 | アメリカ合衆国カリフォルニア州で、消費者団体が問題のCDの販売差し止めと、損害賠償を求める民事訴訟を起こす。 | |
2 | ソニーBMGがこれを受けて、パッチツールをリリースする。当初は、プログラムのアンインストールツールとされていたが、実際はプロセスなどの隠蔽を停止する偽装ツールだったことが明らかになる。 | ||
4 | ソニーBMGがリリースした修正パッチをインストールすると、コンピュータが破壊される可能性があることを専門家が指摘する。また、XCPが勝手にパケット通信しているとも指摘する[4]。 | ||
10 | ソニーBMGのCDに、LAMEのソースを流用した形跡があることが報じられる[5]。これが事実ならLGPLに違反する。 | ||
11 | ソニーBMGが、問題の技術の使われたCDの生産を一時停止すると発表。 | ||
15 | プリンストン大学のEd Felten教授が、ソニーBMGがリリースした、この問題に関するWebベース版のアンインストールツールに、重大なセキュリティーホールがあることを、自らのブログで明らかにする[6]。 | ||
16 | ソニーBMGが、問題の技術の使われたCDをリコールすると発表。 | ||
17 | さらに2件のGPL違反(FAACとmpg123のソース流用)を指摘される[2]。同日ソニーBMGのXCPとは別の技術を使った、MediaMaxのアンインストーラーにも、重大なセキュリティーホールがあることを指摘される[7]。 | ||
21 | LAMEプロジェクトが、LAMEプロジェクト管理人名義でソニーBMGに対して公開質問状を出す[8]。同日テキサス州が、ソニーBMGの一部CDに「スパイウェア」が入っていて、州法に違反しているとして、ソニーBMGを提訴[9]。認められれば、最大で違反1件当たり罰金10万ドル。また、市民団体「電子フロンティア財団(EFF)」が、XCPだけでなく、MediaMaxを使用したCDも合わせた、2400万枚についての損害賠償を請求した。 | ||
28 | プリンストン大学のEd Felten教授が、MediaMaxプロテクトに関しても、問題があることを指摘する[10]。教授は、MediaMaxには旧式のCD-3と新方式のMM-5の2種類があるが、CD-3を入れた後、MM-5を入れるか、MM-5を入れてから、CD-3を入れるか、MM-5を2回入れると、ソフトの利用規約の同意の有無にかかわらず、ドライバがインストールされると主張している。 | ||
2006 | 5 | 22 | 米連邦裁判所判事が、和解案を最終承認する[11][12]。 |
12 | 20 | 米カリフォルニア州の損害賠償訴訟で、75万ドルを消費者団体などに支払うことで和解。 | |
22 | 米マサチューセッツ州など、40州と425万ドルを支払うことで和解。 |
脚注
[編集]- ^ Dan Kaminsky「Welcome To Planet Sony」。2005年11月15日、 DoxPara Research。
- ^ a b Sebastian Porst「Two new F4I license infringements found」。2005年11月17日、Programming stuff
- ^ Mark Russinovich「Sony, Rootkits and Digital Rights Management Gone Too Far」。2005年10月31日、Mark's Blog。
- ^ Mark Russinovich「More on Sony: Dangerous Decloaking Patch, EULAs and Phoning Home」。2005年11月4日、Mark's Blog。
- ^ 「SONY BMG製CCCDにLAMEのソースコードを盗用した疑い」。2005年11月12日、スラッシュドット ジャパン。
- ^ Ed Felten「Sony’s Web-Based Uninstaller Opens a Big Security Hole; Sony to Recall Discs」。2005年11月15日、Freedom to Tinker。
- ^ Ed Felten「Not Again! Uninstaller for Other Sony DRM Also Opens Huge Security Hole」。2005年11月17日、Freedom to Tinker。
- ^ The LAME maintainers「Open letter to Sony BMG (and its owners, Sony and Bertelsmann), First4Internet, and the LAME community.」。2005年11月21日、LAMEプロジェクト。
- ^ 「テキサス州、スパイウェア規制法違反でSONY BMGを提訴」。2005年11月22日、ITmediaニュース。
- ^ Ed Felten「MediaMax Permanently Installs and Runs Unwanted Software, Even If User Declines EULA」2005年11月28日、Freedom to Tinker
- ^ 「Judge Grants Final Approval for Sony BMG CD Settlement」。2006年5月22日、Electronic Frontier Foundation。
- ^ 「SONY BMGのrootkit CD訴訟、和解を最終承認」。2006年5月23日、ITmediaニュース。
外部リンク
[編集]- F-Secure blog(ソニーBMG CCCD問題を一番早くに見つけたセキュリティ会社)
- 「XCP」入りCDタイトル一覧SONY BMG Archived 2008-12-24 at the Wayback Machine.