SONY BMG のスパイウェア疑惑

SONY BMG が採用しているコピーコントロール CD 技術である XCP*1 を実装したソフトウェアが Rootkit と同様の手法で XCP 自身をユーザーから隠蔽しようとしていることが明るみになったことで問題になっています。

またこのソフトウェアは、ユーザーの了承を得ることなく特定のサーバーにユーザーの個人情報を送信している形跡があり、これはスパイウェアではないかと疑われています。

今回の問題点のまとめ

  • コンテンツ保護の名の下にインストールされる「Rootkit」
    CCCD に採用されていた XCP というソフトウェアが Rootkit と同等の動作をすることで問題になっています。この Rootkit は XCP を隠蔽するために実装したらしいのですが、悪意のあるユーザーもこの Rootkit を利用(悪用?)することが容易でセキュリティ面で問題があると指摘されています。
  • システムを不安定にさせる要因になる可能性
    XCP は、自分自身を隠すため、システム制御(Kernel)の横取りをしています。通常、このような技術はクラッカーと呼ばれる輩がシステムを破壊・盗み見したことを悟られないよう証拠隠滅や隠蔽等で使用されます。一般的なソフトウェアではまずお目にかかることの無い技術です。
    この問題をクローズアップした Winternals のマーク・ルシノビッチさんは、このプログラムは技術的には幼稚で練りこまれていないことを指摘しています。システム制御を横取りするプログラムを安定的に動作させるには、通常のプログラムよりも技術的に相当高いレベルを要求されるのですが、どうもこのプログラムはそうでは無かったようです。
  • 了承も得ずに送信される個人情報
    XCP は「歌詞やアルバムのジャケットのアップデートを探すためにSONY BMGのサーバに接続する」という動作を行うのですが、この動作はユーザーのプライバシーにかかわる情報をユーザーの了承を得て行っていない野ではないかとの指摘があります。また、この問題が発覚する前には XCP をインストールする手段が用意されていませんでした。
    このようなソフトウェアのことを一般的に「スパイウェア」と言い、悪意のあるプログラムとして認識されています。
  • 隠れて自己責任を強要する「シュリンクラップ契約」
    XCP は、CD 挿入時点ではインストールされず EULA(End-User License Agreement、契約同意書) 同意後、インストールされるようです。また CCCD であるシールには「音響機器およびパソコンの種類を問わず、このCDの再生・複製については、お客様ご自身の責任で行なってください。その結果データの消失及び機器の破壊等お客様への損害が生じたとしても一切補償を受けられません」という内容の記載もあったそうです。
    このような契約方式を一般に「シュリンクラップ契約」と言います。
    スパイウェアの多くはユーザーに悟られないように様々な契約を結ばせ、断り無く合法的にユーザーの個人情報を取得しています。スパイウェア対策ソフトウェアメーカーの対応もユーザーの同意の上でのスパイ行為は違法ではないとの判断をする場合があり、スパイウェアによっては検知しないケースも多々あるようです。
    記事の最後には「音楽を聴くのに、300行近い英文、それも契約書のような法律文書を読み、それへの合意を迫られなければならない」現状を読者に問いかけています。
  • 著作権を保護する XCP が著作権違反の可能性
    XCP には多くのフリーソフトウェアの Source が組み込まれている痕跡が実行ファイルの中に見られるとの指摘があります。仮にフリーソフトウェアが実装されているとするならば、それらのソフトウェアが適用しているライセンス(LGPLやGPL)に沿っていない配布を行っていることより、著作権違反の可能性が指摘されています。
    仮にこれが真実であるならば、著作権を守るソフトウェアが著作権違反なんて、なんか皮肉ですね。

問題発覚後の対応

  • 「ほとんどの人はrootkitとは何かを知らないのだから、気に掛けたりしないのではないか」
    XCP 問題指摘後、SONY BMG は XCP をアンインストールするプログラムを配布しましたが、最初に配布したアンインストーラーは確実に削除するものではなく、さらにシステムをクラッシュさせる可能性もあると指摘されています。
    また記事では SONY BMG 幹部が「ほとんどの人はrootkitとは何かを知らないのだから、気に掛けたりしないのではないか」と発言したことを取り上げています。この時点では特に大きな問題と言う認識はなかったようです。
  • 返品理由は「欠陥品」
    Amazon.com でも XCP 搭載 CD の返却プログラムを開始したそうです。Amazon.com 曰く「返品理由としては『欠陥品』を選択してください」だそうな。
  • セキュリティ企業の「劣悪な倫理観」
    今回のスパイウェア問題で各セキュリティ企業の対応の悪さが指摘されています。スパイウェア疑惑発覚後、通常なら我先に検出・削除を行っているのですが今回は反応が鈍いです。どのようなセキュリティリスクを負うかその説明も歯切れの悪いものだと記事には記載されています。総じて記事では「よく言っても無能だし、最悪の見方をするなら劣悪な倫理観の表れとも言える」と締めくくっています。
    本来、ユーザー側に立ってユーザーのセキュリティを確保しなければならない立場の企業が、今回は企業利益を優先している状況で、今後もホントに信頼し続けることが出来るのか疑問を投げかけています。
  • セキュリティ対策ソフトウェアによる「XCPの完全な除去は現時点では不可能」
    セキュリティソフトウェアで XCP に仕組まれた rootkit が排除できるかどうか動作確認を行った記事がありました。検知できるものとそうでないものがくっきり分かれた形になっていますが、有名所のソフトウェアでは殆ど検知可能だったようです。
    ただし、記事では検知は出来ても正しく復帰は出来ない可能性が指摘されています。

日本国内での影響

日本でも返金を始めとする影響が出始めていますが、XCP の影響は殆ど受けていないという見方が一般のようです。

もっとも、単にユーザーが気が付いていないだけのような気もしますが。

関連情報

特集記事

News

*1 Extended Copy Protection
*2 Digital Millennium Copyright Act, デジタルミレニアム著作権法
*3 SunnComm Technologies 社製 MediaMax
*4 Electronic Frontier Foundation, 電子フロンティア財団
*5 http://www.sysinternals.com/blog/2005/11/more-on-sony-dangerous-decloaking.html
Last-modified: 2007.02.03 (土) 17:15:47 (6286d)