« はやぶさのリハーサル降下 | Main | 星を継ぐもの »

2005.11.05

米ソニーBMGがルートキット使用

これって日本ではあまり大きなニュースになってない気がする。なぜ?

HotWired: 米ソニーBMG、音楽CDのウイルス懸念に対応策
HotWired: ソニーの音楽CD、ウイルスに悪用される恐れ
HotWired: ソニーの音楽CDに「トロイの木馬」——真の問題点は何か

この騒動が始まったきっかけは、ウィンドウズ向けツールや技術情報を紹介するサイト『シスインターナルズ』を運営するコンピューターセキュリティーの専門家、マーク・ルシノビッチ氏が、自分のウィンドウズ搭載パソコンに「ルートキット」と呼ばれるウイルスの存在を発見したことだった。ルシノビッチ氏は懸命な調査により、このコードが、コピー制限技術を手がける英ファースト4インターネット社に由来することを突き止めた。同社は、CD向けのデジタル著作権管理(DRM)技術を提供する契約をソニーBMG社と結んでいた。ルシノビッチ氏は、ロックグループのヴァン・ザントがソニーBMG社からリリースしているCD、『ゲット・ライト・ウィズ・ザ・マン』をパソコンで再生したときに、このソフトウェアに「感染」したのだ。
著作権保護の機能を実現するためにルートキットを使ってCDを買った客のパソコンの挙動を変えてしまったのか。ソニーともあろうものが、さいてー。ミイラ取りがミイラ。日本のCDは大丈夫?

[追記] ITmediaに関連記事その1その2

iPodが一人勝ちしている今、著作権ビジネスにも改革が必要かと。個人的にはAppleにもっとどんどんがんばってほしいと思う。そろそろiPod買いたいな。

[追記 11/7] 「ソニーBMG CD」なんていう検索がうちにも飛んでくるようになったので、そろそろブレークするか? マイクロソフト社のセキュリティチームのブログでもRootkitの解説を行っているので、メモ。M社ちょっと見直した!

[追記 11/10] ルートキットの存在を発見したMark Russinovich氏の記事の翻訳が掲載された。

@IT: ソニーが音楽CDに組み込んだ“Rootkit”とは何者か?

で、問題のコードの作者への感想。「う〜ん、まるでスクリプトキディだ!」 First 4 Internetっていったい...

[追記 11/11]

ITmedia: SONY BMG、DRMソフトのrootkit問題で新パッチ、批判は収まらず

「ほとんどの人はrootkitとは何かを知らないのだから、気に掛けたりしないのではないか」とSONY BMGのグローバルデジタルビジネス担当社長トーマス・ヘス氏は4日、National Public Radio(NPR)の取材に対して語った。
また火に油を注ぐような発言を... (-_-#)

[追記 11/12]

CNET Japan: これは氷山の一角か--EFF、ソニーのrootkit組み込みCD19枚を発表

Celine Dionとか、買おうかとか思ってたなぁ... やば。

[追記 11/13]

ITmedia: 「rootkit」騒動渦中のSONY BMG、XCP技術採用CDの製造を中止

 「SONY BMGは用心のため、XCP技術を含むCDの製造を一時的に停止する」と同社は声明を出した。
SONY BMGは「当社と我々のアーティストの知的所有権を保護するための重要なツールとして」コンテンツ保護技術を擁護する立場にあると主張している。
だそうです。

スラッシュドットジャパン:SONY BMG製CCCDにLAMEのソースコードを盗用した疑い

記事は、CCCDに含まれているソフトウェアの実行バイナリ内に、LAMEのversion.c由来と思われる文字列 "http://www.mp3dev.org/"、"0.90"、"LAME3.95"、"3.95" や、libmp3lameのtables.c内のテーブルが含まれていることを指摘している。
だそうです。調べれば調べるほど倫理的に問題があるという印象。

CNET Japan: ソニーBMG製CDの「rootkit」、ウイルス対策企業が検出ツールをリリース

Symantecは米国時間9日、同社のウイルス対策ソフトウェアはソニーのソフトウェアを検出するものの、これを削除することはしない、と語った。同社ではその代わりに、ユーザーをソニーのウェブサイトに誘導するという。
.....
しかし、セキュリティ事業部のあるComputer Associatesは同7日、ソニーのソフトウェアにさらに高いセキュリティ上のリスクがあることを発見し、これを直接アンインストールするツールをリリースしている。
ということらしい。

ITmedia: Microsoftも「駆除」決定――SONY BMGの「rootkit」対策に乗り出す

Microsoftも動いた。AntiSpiwareを担当するエンジニアリングチームはブログで、XCPのrootkitを検出して削除するシグネチャをリリースする計画であると述べたとのこと。

[追記 11/14]

[鏡] 辺境から戯れ言:rootkit 話の続き

SONY BMG が採るべき最善の策は,セキュリティ上の脅威を呼び込む XCP-CCCD を「間違った技術」と認め,これまでのXCP-CCCD 製品をリコール対象としてすべて回収し,セキュリティとのトレードオフを生じさせない DRM の仕組みを提案していくことだ。
じつに同感。

The "Sony rootkit" case (F-Secure blog, 2005.11.01)

SONY BMG 一部コピーコントロール CD に Macintosh 対応 DRM 組込みの可能性 (Macintosh
トラブルニュース, 2005.11.13)

Macintosh についても,Sunncomm 社製の Macintosh 対応プログラムが組み込まれていることが分かった.
「Start.app」アプリケーションを実行すると,カーネル機能拡張に,「PhoenixNub1.kext」と「PhoenixNub12.kext」を組み込んでくる.
ついにMacintoshまで! これは普通のDRMなのかな...??

Sony BMGのrootkitを削除するツールを配布するMicrosoftは著作権法違反? (武田圭史, 2005.11.14)

なんと、こんな可能性が!

[追記 11/17]

共同通信: ソニーBMG、CD回収へ 侵入ウイルスの潜伏手助け

やっと日本の通信社も取り上げるようになった。

HotWired: ソニーBMG社CD:感染は50万以上のネットワークに?(上)
HotWired: ソニーBMG社CD:感染は50万以上のネットワークに?(下)
ITmedia: XCP「rootkit」組み込みマシン、日本は最多の21万台?——専門家が指摘
ITmedia: 「穴」を広げるSONY BMGのXCPアンインストーラ
ITmedia: SONY BMGのXCP削除ツール、批判受け配布中止
ITmedia: 行きすぎた著作権保護:“スパイ的コピープロテクト”の波紋
ITmedia: SONY BMG、XCP付きCDを交換へ
CNET Japan: ソニーBMG、「rootkit」CDのリコール発表--別のセキュリティ問題も発覚

ソニーが明らかにしたところによると、同社は「XCP」と呼ばれるコピー防止技術を組み込んだCDを過去8カ月間に470万枚以上出荷しており、そのうちの210万枚以上が販売済みだという。

[鏡] 辺境から戯れ言:rootkit 話の続きの続き

もしかしたら組み込みエンジニアに求められる資質というのは「そのソフトウェアをリリースする覚悟があるか」ということなのかもしれない。
ふむ。なるほど。

しかしSONY BMGの場合、悲劇的なのは、IT技術に関する眼力を持った人間がXCPのプロジェクト内部にいなかったのではないかと思えるところですね。First4Internetの技術力というのは断片的な報道から判断する限り、あまり高くない。もともとルートキットを使おうと提案してくるあたりからして常軌を逸している。その技術力の低さがあわてて作ったアンインストーラでもポカミスをすることにつながったのではないか。その技術力を見抜けなかったSONY BMGの経営陣が責任を問われることになるのは必至と思える。

もしかしてルートキットを使うということすらSONY BMGに明かしていなかったのかな。

DRM技術を開発する事自体は重要なことだと思うけれど、なにが「Fair Use」なのかをSONY BMGは頭を冷やしてもう一度考えてほしい。媒体としてのCDはもう終わりつつあるのだから。

これからCDを買うときは、どこの会社のものかをよく見分けるようにしないと... CDに限らずネット販売もそうかな?

ITPro: なぜWindowsは危険なルートキットを阻止できないか?

what's my scene? ver.6.1: Sony BMGが新しいコピー防止技術を密かに市場テスト中 - Sony BMG tests technology to limit CD burning

まず驚いたのは、Sony BMGがすでに今年の3月からコピー防止の新技術であるFirst4Internetの「XCP(Extended Copy Protection)」を市販CDのいくつかに採用して販売しているということ。さらに不気味なのは、XCPを採用した製品名を今のところ公開していない点。少なくとも10タイトル、合計で100万枚以上というから、日本へ輸入されている可能性も高いと思う。
SONY BMGはXCP入りCDを今年の3月から秘密裏に販売していたとのこと。

NETAFULL:「ソニーBMG」が誕生 (2003.11.08)

[追記 11/18]

HotWired: ワイアード・コラムニスト「ソニー製品ボイコットを」(上)

このソフトは、ソニーBMG社が最近発売した20タイトルを超えるCDに含まれているが、ルートキットに関する警告を表示していないだけでなく、歌詞などの関連コンテンツの更新でユーザーを誘ってソニーBMG社のウェブサイトにパソコンを接続させ、その過程でユーザーのインターネット・アドレスやCDが再生された回数といった情報を取得していることも知らせていない。
HotWired: ワイアード・コラムニスト「ソニー製品ボイコットを」(下)
もちろん、ソニーBMG社の問題は人の生死にかかわるものではない。しかし、顧客の傷ついた感情を元通りにする力が同社にあることは、ジョンソン&ジョンソン社の例をみれば明らかだ。それをやりそこねたら、今度こそ本当の悲劇になるだろう。
時代を見据える経営者に交替する必要性を感じますね。

ITmedia: SONY BMGが加速した、セキュリティベンダーのrootkit対策

同氏は、世界で少なくとも56万8200台のネームサーバーがソニーへのデータ送信に必要となるDNSクエリーを収集していることを示す統計値を発表し、その直後の取材で次のように語っている。「誰も入るべきではないネットワークにソニーが侵入している。どことは言えない。だが、ソニーのrootkitが本来いるはずのない場所に侵入したことを示す証拠がある。いま問題にすべきは、この事実が引き起こす副次的なダメージだ」
なるほど。まさか音楽CDにスパイウェアが潜んでいるとはこれまでは誰も思わなかっただろうからね。「どことは言えない」とはきっとああいう場所とかこういう場所だろう。ということはSONY BMGとFirst4Internetには今後、某機関の捜査の...

もう一つ問題なのは、この8ヶ月の間にSONY BMGが蓄積した「感染PC」のIPアドレス一覧だろう。これがもし闇の市場に流れたら... もしFirst4Internetが倒産したりすることにでもなったりすれば従業員の行動を誰が...

悪夢だ。

[追記 11/19]

CNET Japan: ソニーBMGの「rootkit」CD修正用プログラム、さっそく攻撃の的に (2005/11/17 10:57)

米国時間16日にこれを悪用して攻撃を仕掛けるウェブサイトが見つかったと、あるセキュリティ対策企業が発表した。
PC Watch: 元麻布春男の週刊PCホットライン 続・コピープロテクションCDが招く災い (2005/11/16)
しかし、問題がソニーブランド全体に波及しようとしているのに、何のアナウンスもないというのは、なぜなのだろうか。この鈍感さ、レスポンスの遅さは、コンシューマーカンパニーとは思えない。ブランド価値を守りたいのであれば、迅速に行動する必要があると思う。...略... 全般に、権利者側の主張を繰り返していた前の声明に対し、消費者を意識したものに改められた。問題のCDの回収と交換が打ち出されたことで、今回の騒動は収束する方向へ向かうと思われるが、すでに起された集団訴訟の結果、海外へ輸出されてしまった分(わが国に並行輸入されたものを含む)への対処など、まだ不透明な部分も多く残っている。
ITmedia: SONY BMGのXCPにオープンソースソフト盗用の指摘 (2005/11/18 15:14)
「少なくとも、XCPソフトの5つの機能がLAMEのコードの機能と同じであることを確認できる」と独セキュリティ企業Saber Securityでソフト分析を専門とするトーマス・デュリエン氏は指摘する。
INTERNET Watch: コピー防止ソフト「XCP」入りCDは52タイトル、SONY BMGがリスト公表 (2005/11/17)
バート・バカラック「At This Time」、セリーヌ・ディオン「On Ne Change Pas」、シンディ・ローパー「The Body Acoustic」など52タイトルが商品番号とともに掲載
INTERNET Watch: SONY BMGが「XCP」入りCDの交換サービス開始、日本でも「対応を検討中」 (2005/11/18)
ソニー・ミュージックジャパンインターナショナルやBMG JAPANでは、「現在対応を検討しているところだ。詳細が決定次第、改めて発表する」としている。

Sony製 楽曲付きRootkitCDのまとめWiki
まとめWikiができてる。メディアやSONY、IPAなどへの突撃電話インタビューが掲載。感情的にならずに冷静に追求しましょう。

CNET Japan: EMI:「iPodがコピー防止機能付きCDをサポート」--「異議あり」とアップル (2005/11/18 13:05)

今回の件とは関係ないけど、EMIの姿勢がSONY BMGとあまりにも対照的で興味深い。

ITmedia: もう1つのSONY BMG「無許可」DRMはMacにも対応 (2005/11/18 14:01)

これまで分かっている限りでは、EULAに「同意する」のと「拒否する」違いは、同意するとOSを起動するたびにDRMが立ち上がるようになることだという。
だそうです。

INTERNET Watch: 音楽著作権問題について坂本龍一氏に聞く

坂本龍一氏の6年も前のインタビュー記事ですが、あらためてSONY BMGの関係者に読ませてみたい。消費者の一人としては自分が払うお金は直接アーティストに届いてほしいと願う。

IT Pro: ソニーBMGのアンインストール・ツールを悪用するWebサイトが出現 (2005/11/18: 無料登録が必要)

古いアンインストール・ツールを実行してしまったユーザーが取りうる回避策としてActiveXのレジストリを改変する米Microsoftの情報を紹介している。

株式会社ソニー・ミュージックジャパンインターナショナルが「米国Sony BMG発売商品における対応に関するお知らせ」を掲載した。ページの更新日時は2005年11月18日 16:59:09。まとめWiki経由。同社のトップページの下のほうにひっそりと[XCPについての対応]という文字でリンクされている。(20時現在)

これもまとめWikiの情報。Amazon.comは問題のCDを買った客にe-mailを発送し、開封未開封にかかわらず返品と返金に応じるとのこと。すばらしい。他社のリスクをバネにして自社の評判を上げましたね。

[追記 11/22]

ITmedia: SONY BMG、「MediaMax」アンインストーラ問題でさらなる深みへ (2005/11/21 09:32)
ITmedia: MediaMaxの新CEOにSONY BMGの元幹部が就任 (2005/11/22 13:42)
辺境から戯れ言:セキュリティ企業は何故 SONY BMG 製 rootkit を野放しにしたのか

[追記 12/13] 続報。まだまだ決着していない。新版のアンインストールツールにも問題があるとのこと。

秋沙のココログ既知ログ: こんどこそ?Sony BMG XCP,Rootkitアンインストールツール新版をリリース

[追記 12/14] 月刊FACTA - 編集長・陣中ブログ:ソニーを包む「奇妙な沈黙」経由。12月4日に熊本日日新聞に掲載された阿部重夫氏の論壇をこちらで読むことが出来る。

[追記 12/15] 阿部重夫氏の続編その1その2

[追記 12/19] 阿部重夫氏の続編その3その4。雑誌フォーサイト1月号にも阿部氏の記事「最後から2番目の真実 ソニーの背骨に「忍者ソフト事件」の大打撃」が掲載されている。

[追記 12/23] 阿部重夫氏の続編その5。やっと独自取材の話に到達。でもちょっと期待外れかな。プロを名乗るつもりならF4IのプログラマやSONY BMGのCEOやEFFやアボット州司法長官などに直撃インタビューしてほしい。秋沙のココログ既知ログに現状のまとめ

[追記1/14]

秋沙のココログ既知ログ:SONY BMGのDRM CD問題、ニューヨーク州で和解の予備承認
月刊「FACTA-ファクタ」 阿部重夫編集長ブログ:ソニーの「沈黙」16――「臭いものにフタ」の予備的和解

« はやぶさのリハーサル降下 | Main | 星を継ぐもの »

Comments

Post a comment

Comments are moderated, and will not appear on this weblog until the author has approved them.

(Not displayed with comment.)

TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/6676/6912658

Listed below are links to weblogs that reference 米ソニーBMGがルートキット使用:

« はやぶさのリハーサル降下 | Main | 星を継ぐもの »

zeitgeist

MyBlogList

無料ブログはココログ