ソニーBMG製CD XCP問題

出典: フリー百科事典『ウィキペディア（Wikipedia）』

ソニーBMG製CD XCP問題（-ビーエムジーせいコンパクトディスクエックスシーピーもんだい）は、アメリカ合衆国のソニーBMG・ミュージックエンタテインメント(SONY BMG Music Entertainment)から発売されたCDにrootkitが含まれていた問題。

[編集] 概要

2005年 10月に、コピーコントロールCD (セキュアCD) のセキュリティの脆弱性が発見された。このCCCDをWindowsパソコンに入れてソフトウェア『XCP』のインストールに同意すると、マルウェアであるrootkitのプログラムをインストールすることになり、更にXCPのアンインストールが不可能だという指摘がなされ、世界中から批判を浴び国際的な訴訟問題へと動いている。このソフトの問題が発覚した後にマイクロソフトまでがXCPを悪質なソフトウェアとして認定している。ちなみにソニーBMG側はこのソフトを完全に削除するツールを未だに提供しておらず、このソフトウェアが同梱されているCDとコピーガードを外されたCDとを交換するという形でしか対応していない。

なおソニー・ミュージックエンタテインメント(SMEJ)やBMGジャパンから発売される日本盤はコピーコントロールCDは採用していない（海外版・輸入盤で後述のリスト内のCDには注意が必要）。だが、ある調査によると[1]、少なくとも568,200のネットワークにこのソニーのマルウェアに感染したコンピュータがあり、日本が21万7000台以上とアメリカの13万台以上を圧倒しているため、一部日本人ユーザーの間でそれ以外のソニー製ソフトにも同様の問題がないかと心配する声が上がっている。

また、この事件を期にハッカー達が各種ソニー製品を解析した結果、同様のマルウェアを搭載するコピープロテクト「MediaMax」が見つかった。このMediaMaxは、Windowsのみならず、MacOSにも感染する能力を持ち、XCPよりも遙かに深刻な問題を含むという結果が報告された。これらのマルウェア群を総称したものは、軽蔑の意を込めて、ソニーウィルスなどと呼ばれている。

Amazon.co.jpやタワーレコードなどでは「XCP」入りのCD購入者に対し返金を行っている。

2005年12月8日にはインストールされたXCPを悪用しAntinnyを投下するウィルスも報告された。

「XCP」について、ソニー・ミュージックジャパン株式会社が見解を出している。また、英語版Wikipediaにも詳細が記載されている。

[編集] 問題になっている点

Windows搭載PC で使うときにインストールされるプログラムの利用規約に rootkit について明確に書かれていない。つまりユーザーの同意を得ていないプログラムもインストールしている。
ソニーのプログラムだけではなく、$sys$ が先頭についているファイルやプロセス等が隠蔽される。これは視覚的に隠蔽されるだけでなく、ウイルス対策ソフト等からも見えなくなる。
プログラムを手動で削除しようとすると、CDドライブが認識されなくなる。
隠蔽行為を解除するためにリリースしたプログラム（ActiveX版）にどのサイトからも任意のコードを実行できるという重大な脆弱性が含まれていた。
プログラムをアンインストールするには、ソニーBMG 側に個人情報を提供する必要があった。
ユーザーの同意なしに何らかの情報をconnected.sonymusic.comなどに送信する。（ソニーBMG側は否定）
コピーレフトのソースを流用し、ソースを公開していないという疑惑がある。（流用が事実であれば、LGPLのライセンス違反である）
AppleのiTunesに採用されているDRM「Fair Play」を回避するためツールのコードを流用したという疑惑がある。[2]
他のCCCDではないCDのリッピングも妨害（ランダムノイズの挿入）しているという疑惑がある。
著作権という財産の保護の名の下に、ユーザーの財産であるパソコンの内容を改竄してユーザーの財産を侵害している。

[編集] 事件の経緯

2005年 10月31日 - Sysinternals社Mark Russinovich氏が、ソニーBMGのXCP Technologyを採用した米国国内向けCCCDにrootkitが入っていて容易に削除できないなどの問題があることを指摘する。[3]
2005年11月1日 - 米国カルフォルニア州で消費者団体が、問題のCDの販売差し止めと損害賠償を求める訴えを起こす。
2005年11月2日 - ソニーBMGがこれをうけてツールをリリースする。当初は、プログラムのアンインストールツールといわれていたが、実際はプロセス等の隠蔽を停止するツールだったことが明らかになる。
2005年11月4日 - ソニーBMGがリリースしたパッチをインストールするとコンピュータがクラッシュする可能性があることを専門家が指摘する。また、XCPが勝手にWeb通信しているとも指摘する。[4]
2005年11月10日 - ソニーBMGのCDにLAMEのソースを流用した形跡があることが報じられる。[5]これが事実ならLGPLに違反する。
2005年11月11日 - ソニーBMGが問題の技術の使われたCDの生産を一時停止すると発表。
2005年11月15日 - プリンストン大学のEd Felten教授がソニーBMGがリリースしたこの問題に関するWebベース版のアンインストールツールに重大なセキュリティーホールがあることをブログで明らかにする。[6]
2005年11月16日 - ソニーBMGが問題の技術の使われたCDをリコールすると発表する。
2005年11月17日 - さらに2件のGPL違反（FAACとmpg123のソース流用）を指摘される。[7]
同日 - ソニーBMGのXCPとは別の技術を使ったMediaMaxのアンインストーラーにも重大なセキュリティーホールがあることを指摘される。[8]
2005年11月21日 - LAMEプロジェクトがLAMEプロジェクト管理人名義でソニーBMGに対して公開質問状を出す。[9]
同日テキサス州が、ソニーBMGの一部CDに「スパイウェア」が入っていて州法に違反しているとしてソニーBMGを提訴。認められれば、最大で違反一件当たり罰金10万ドル。また、市民団体「電子フロンティア財団(EFF)」がXCPだけでなくMediaMaxを使用したCDもあわせた2400万枚についての損害賠償を請求した。
2005年11月28日 - プリンストン大学のEd Felten教授がMediaMaxプロテクトに関しても、問題があることを指摘する。[10]教授はMediaMaxには旧式のCD-3と新方式のMM-5の2種類があるが、CD-3を入れた後、MM-5を入れるか、MM-5を入れてから、CD-3を入れるか、MM-5を2回入れると、ソフトの利用規約の同意の有無にかかわらず、ドライバがインストールされると主張している。
2006年 5月22日米連邦裁判所判事が和解案を最終承認する。[11][12]
2006年12月20日米カルフォルニア州の損害賠償訴訟で75万ドルを消費者団体などに支払うことで和解。
2006年12月22日米マサチューセッツ州など40州と425万ドルを支払うことで和解。