操作

ソニーBMG製CD XCP問題

ソニーBMG製CD XCP問題(-ビーエムジーせいコンパクトディスク エックスシーピーもんだい)とは、アメリカ合衆国のソニーBMGミュージックエンターテインメント(現:ソニー・ミュージックエンタテインメント (米国))の音楽CDに採用された米SunnComm Technologiesソフトウェアに、マルウェアであるrootkitが含まれていた問題。ユーザーのPCのセキュリティを脆弱にするソフトウェアが、ユーザの同意を得ずに隠密にインストールされることなどが問題視された。

概要

2005年10月に、コピーコントロールCD (CCCD,セキュアCD) の米SunnComm Technologiesセキュリティ技術に脆弱性が発見された。このCCCDをWindowsパソコンに入れて、ソフトウェア『XCP』のインストールに同意すると、rootkitプログラムをインストールすることになり、更にXCPのアンインストールが不可能だという指摘がなされ、世界中から非難を浴び、アメリカ合衆国では訴訟へと発展した。このソフトの問題が発覚した後にマイクロソフトは、XCPを悪質なソフトウェアとして認定している。ちなみにソニーBMG側は、このソフトを完全に削除するツールを、マイクロソフトと協力して提供した。

なおソニー・ミュージックエンタテインメント(SMEJ)やBMGジャパンから発売される日本盤は、CCCDは採用していない(海外版・輸入盤で後述のリスト内のCDには注意が必要)。だが、ある調査によると[1]、少なくとも568,200のネットワークにこのソニーのマルウェアに感染したコンピュータがあり、日本が21万7000台以上とアメリカの13万台以上を圧倒しているため、一部日本人ユーザーの間でそれ以外のCCCDにも同様の問題がないかと心配する声が盛り上がった。

また、この事件を期にハッカー達が米SonyBMG製を含む各種製品をリバースエンジニアリングした結果、同様の米SunnComm Technologies製コピープロテクト「MediaMax」が見つかった。このMediaMaxは、Microsoft Windowsのみならず、MacOS Xにも感染する能力を持ち、XCPよりも遙かに深刻な問題を含むという結果が報告された。

Amazon.co.jpタワーレコードなどでは「XCP」入りのCD購入者に対し、購入代金の返金を行った。

2005年12月8日には、インストールされたXCPを悪用し『Antinny』を投下するコンピュータウイルスも報告された。

「XCP」について、株式会社ソニー・ミュージックエンタテインメント(SME Japan)が見解を出している。

問題になっている点

  • Microsoft Windows搭載コンピュータで使うとき、インストールされるプログラムの利用規約に 『rootkitをインストールします』と明示されていない。つまりユーザーの同意を得ていないコンピュータプログラムもインストールしている点。
  • SunnComm Technologies製のプログラムだけではなく、$sys$ が先頭についているファイルやプロセス等が隠蔽される。これにより視覚的に隠蔽されるだけでなく、アンチウイルスソフトウェアにも検知出来ない点。
  • プログラムをシステム上でアンインストールせず、単に手動で削除しようとすると、光学ドライブが認識されなくなる点。
  • 隠蔽行為を解除するためにリリースした、最初期のSunnComm Technologies製プログラム(ActiveX版)に、どのウェブサイトからも任意のコードを実行できるという「重大なセキュリティーホール」が含まれていた点。
  • 上記プログラムを入手するには、ソニーBMGに個人情報を提供する必要があった点。
  • AppleiTunesに採用されているデジタル著作権管理FairPlay」を回避するため、ツールのソースコードを流用したという疑惑[2]
  • 著作権という知的財産権の保護の名の下に、許諾したユーザーの財産であるパソコンの内容を改竄し、ユーザーの所有財産権を侵害している点。

事件の経緯

  • 2005年10月31日 - Winternals社マーク・ルシノビッチが、ソニーBMGのXCP Technologyを採用した米国国内向けCCCDにrootkitが入っていて、容易に削除できないなどの問題があることをブログで指摘[3]
  • 2005年11月1日 - 米国カリフォルニア州で、消費者団体が問題のCDの販売差し止めと、損害賠償を求める民事訴訟を起こす。
  • 2005年11月2日 - ソニーBMGがこれを受けて、パッチツールをリリースする。当初は、プログラムのアンインストールツールとされていたが、実際はプロセスなどの隠蔽を停止するツールだったことが明らかになる。
  • 2005年11月4日 - ソニーBMGがリリースした修正パッチをインストールすると、コンピュータが破壊される可能性があることを専門家が指摘する。また、XCPが勝手にパケット通信しているとも指摘する[4]
  • 2005年11月10日 - ソニーBMGのCDに、LAMEのソースを流用した形跡があることが報じられる[5]。これが事実ならLGPLに違反する。
  • 2005年11月11日 - ソニーBMGが、問題の技術の使われたCDの生産を一時停止すると発表。
  • 2005年11月15日 - プリンストン大学のEd Felten教授が、ソニーBMGがリリースした、この問題に関するWebベース版のアンインストールツールに、重大なセキュリティーホールがあることを、自らのブログで明らかにする[6]
  • 2005年11月16日 - ソニーBMGが、問題の技術の使われたCDをリコールすると発表。
  • 2005年11月17日 - さらに2件のGPL違反(FAACとmpg123のソース流用)を指摘される[7]
  • 同日 - ソニーBMGのXCPとは別の技術を使った、MediaMaxのアンインストーラーにも、重大なセキュリティーホールがあることを指摘される[8]
  • 2005年11月21日 - LAMEプロジェクトが、LAMEプロジェクト管理人名義でソニーBMGに対して公開質問状を出す[9]
  • 同日 テキサス州が、ソニーBMGの一部CDに「スパイウェア」が入っていて、州法に違反しているとして、ソニーBMGを提訴[10]。認められれば、最大で違反1件当たり罰金10万ドル。また、市民団体「電子フロンティア財団(EFF)」が、XCPだけでなく、MediaMaxを使用したCDも合わせた、2400万枚についての損害賠償を請求した。
  • 2005年11月28日 - プリンストン大学のEd Felten教授が、MediaMaxプロテクトに関しても、問題があることを指摘する[11]。教授は、MediaMaxには旧式のCD-3と新方式のMM-5の2種類があるが、CD-3を入れた後、MM-5を入れるか、MM-5を入れてから、CD-3を入れるか、MM-5を2回入れると、ソフトの利用規約の同意の有無にかかわらず、ドライバがインストールされると主張している。
  • 2006年5月22日 - 米連邦裁判所判事が、和解案を最終承認する[12][13]
  • 2006年12月20日 - 米カリフォルニア州の損害賠償訴訟で、75万ドルを消費者団体などに支払うことで和解。
  • 2006年12月22日 - 米マサチューセッツ州など、40州と425万ドルを支払うことで和解。

出典

  1. Dan Kaminsky「Welcome To Planet Sony」。2005年11月15日、 DoxPara Research
  2. Sebastian Porst「Two new F4I license infringements found」。2005年11月17日、Programming stuff
  3. Mark Russinovich「Sony, Rootkits and Digital Rights Management Gone Too Far」。2005年10月31日、Mark's Blog
  4. Mark Russinovich「More on Sony: Dangerous Decloaking Patch, EULAs and Phoning Home」。2005年11月4日、Mark's Blog。
  5. SONY BMG製CCCDにLAMEのソースコードを盗用した疑い」。2005年11月12日、スラッシュドット ジャパン
  6. Ed Felten「Sony’s Web-Based Uninstaller Opens a Big Security Hole; Sony to Recall Discs」。2005年11月15日、Freedom to Tinker。
  7. Sebastian Porst「Two new F4I license infringements found」。2005年11月17日、Programming stuff。
  8. Ed Felten「Not Again! Uninstaller for Other Sony DRM Also Opens Huge Security Hole」。2005年11月17日、Freedom to Tinker。
  9. The LAME maintainers「Open letter to Sony BMG (and its owners, Sony and Bertelsmann), First4Internet, and the LAME community.」。2005年11月21日、LAMEプロジェクト。
  10. テキサス州、スパイウェア規制法違反でSONY BMGを提訴」。2005年11月22日、ITmediaニュース。
  11. Ed Felten「MediaMax Permanently Installs and Runs Unwanted Software, Even If User Declines EULA」2005年11月28日、Freedom to Tinker
  12. Judge Grants Final Approval for Sony BMG CD Settlement」。2006年5月22日、Electronic Frontier Foundation。
  13. SONY BMGのrootkit CD訴訟、和解を最終承認」。2006年5月23日、ITmediaニュース。

外部リンク