ソニーBMG製CD XCP問題

出典: フリー百科事典『ウィキペディア（Wikipedia）』

ソニーウィルスのこの項目への統合が提案されています。
統合に関する議論はノート:ソニーウィルスを参照してください。
このタグは2008年2月に貼付されました。

ソニーBMG製CD XCP問題（-ビーエムジーせいコンパクトディスクエックスシーピーもんだい）は、アメリカ合衆国のソニーBMG・ミュージックエンタテインメント(SONY BMG Music Entertainment)のCDに採用された米SunnComm Technologies製ソフトウェアにrootkitが含まれていた問題。

[編集] 概要

2005年 10月に、コピーコントロールCD (セキュアCD) の米SunnComm Technologies製セキュリティ技術に脆弱性が発見された。このCCCDをWindowsパソコンに入れてソフトウェア『XCP』のインストールに同意すると、rootkitプログラムをインストールすることになり、更にXCPのアンインストールが不可能だという指摘がなされ、世界中から批判を浴び国際的な訴訟問題へと動いている^[要出典]。このソフトの問題が発覚した後にマイクロソフトはXCPを悪質なソフトウェアとして認定している。ちなみにソニーBMG側はこのソフトを完全に削除するツールをMSと協力して提供した。

なおソニー・ミュージックエンタテインメント(SMEJ)やBMGジャパンから発売される日本盤はコピーコントロールCDは採用していない（海外版・輸入盤で後述のリスト内のCDには注意が必要）。だが、ある調査によると^[1]、少なくとも568,200のネットワークにこのソニーのマルウェアに感染したコンピュータがあり、日本が21万7000台以上とアメリカの13万台以上を圧倒しているため、一部日本人ユーザーの間でそれ以外のCCCDにも同様の問題がないかと心配する声が盛り上がった^[要出典]。

また、この事件を期にハッカー達が米SonyBMG製を含む各種製品を解析した結果、同様の米SunnComm Technologies製コピープロテクト「MediaMax」が見つかった。このMediaMaxは、Windowsのみならず、MacOSにも感染する能力を持ち、XCPよりも遙かに深刻な問題を含むという結果が報告された。これらのマルウェア群を総称したものは、一部熱心な人々から軽蔑の意を込めて、執拗にソニーウィルスなどと書き込まれた。

Amazon.co.jpやタワーレコードなどでは「XCP」入りのCD購入者に対し返金を行っている。

2005年12月8日にはインストールされたXCPを悪用しAntinnyを投下するウィルスも報告された。

「XCP」について、ソニー・ミュージックジャパン株式会社が見解を出している。また、英語版Wikipediaにも詳細が記載されている。

[編集] 問題になっている点

Windows搭載PC で使うときにインストールされるプログラムの利用規約に 『rootkitをインストールします』と明確に書かれていない。つまりユーザーの同意を得ていないプログラムもインストールしている。
SunnComm Technologies製のプログラムだけではなく、$sys$ が先頭についているファイルやプロセス等が隠蔽される。これは視覚的に隠蔽されるだけでなく、ウイルス対策ソフト等にも検知されない。
プログラムをシステム的にアンインストールせず単に手動で削除しようとすると、CDドライブが認識されなくなる。
隠蔽行為を解除するためにリリースした最初期のSunnComm Technologies製プログラム（ActiveX版）にどのサイトからも任意のコードを実行できるという重大な脆弱性が含まれていた。
上記プログラムを入手するには、ソニーBMG 側に個人情報を提供する必要があった。
ユーザーの同意なしにpingに類する何らかの情報をconnected.sonymusic.comなどに送信するという噂。（ソニーBMG側は否定）
コピーレフトのソースを流用し、ソースを公開していないという疑惑が拭えない。（流用が事実であれば、LGPLのライセンス違反である）
AppleのiTunesに採用されているDRM「Fair Play」を回避するためツールのコードを流用したという疑惑が拭えない。^[2]
他のCCCDではないCDのリッピングも妨害（ランダムノイズの挿入）しているという噂。
著作権という財産の保護の名の下に、許諾したユーザーの財産であるパソコンの内容を改竄してユーザーの財産を侵害している。

[編集] 事件の経緯

2005年 10月31日 - Sysinternals社マーク・ルシノビッチが、ソニーBMGのXCP Technologyを採用した米国国内向けCCCDにrootkitが入っていて容易に削除できないなどの問題があることを指摘する。^[3]
2005年11月1日 - 米国カルフォルニア州で消費者団体が、問題のCDの販売差し止めと損害賠償を求める訴えを起こす。
2005年11月2日 - ソニーBMGがこれをうけてツールをリリースする。当初は、プログラムのアンインストールツールといわれていたが、実際はプロセス等の隠蔽を停止するツールだったことが明らかになる。
2005年11月4日 - ソニーBMGがリリースしたパッチをインストールするとコンピュータがクラッシュする可能性があることを専門家が指摘する。また、XCPが勝手にWeb通信しているとも指摘する。^[4]
2005年11月10日 - ソニーBMGのCDにLAMEのソースを流用した形跡があることが報じられる。^[5]これが事実ならLGPLに違反する。
2005年11月11日 - ソニーBMGが問題の技術の使われたCDの生産を一時停止すると発表。
2005年11月15日 - プリンストン大学のEd Felten教授がソニーBMGがリリースしたこの問題に関するWebベース版のアンインストールツールに重大なセキュリティーホールがあることをブログで明らかにする^[6]。
2005年11月16日 - ソニーBMGが問題の技術の使われたCDをリコールすると発表する。
2005年11月17日 - さらに2件のGPL違反（FAACとmpg123のソース流用）を指摘される^[7]。
同日 - ソニーBMGのXCPとは別の技術を使ったMediaMaxのアンインストーラーにも重大なセキュリティーホールがあることを指摘される^[8]。
2005年11月21日 - LAMEプロジェクトがLAMEプロジェクト管理人名義でソニーBMGに対して公開質問状を出す^[9]。
同日テキサス州が、ソニーBMGの一部CDに「スパイウェア」が入っていて州法に違反しているとしてソニーBMGを提訴^[10]。認められれば、最大で違反一件当たり罰金10万ドル。また、市民団体「電子フロンティア財団(EFF)」がXCPだけでなくMediaMaxを使用したCDもあわせた2400万枚についての損害賠償を請求した。
2005年11月28日 - プリンストン大学のEd Felten教授がMediaMaxプロテクトに関しても、問題があることを指摘する。^[11]。教授はMediaMaxには旧式のCD-3と新方式のMM-5の2種類があるが、CD-3を入れた後、MM-5を入れるか、MM-5を入れてから、CD-3を入れるか、MM-5を2回入れると、ソフトの利用規約の同意の有無にかかわらず、ドライバがインストールされると主張している。
2006年 5月22日米連邦裁判所判事が和解案を最終承認する^[12]^[13]。
2006年12月20日米カルフォルニア州の損害賠償訴訟で75万ドルを消費者団体などに支払うことで和解。
2006年12月22日米マサチューセッツ州など40州と425万ドルを支払うことで和解。