XCP その5

Sony BMG CDに含まれるコピー防止ソフトXCPは、今年のコンピュータセキュリティ上おそらく最悪の事件となった。このXCPは、どれくらい不正コピー防止に役に立つのだろうか。
PC Watch内の山田祥平氏のコラムには、
仕方がないので、別のユーティリティでCDを開き、オーディオトラックをWAVファイルとして取り込み、そのファイルをiTunesに登録したあと、AACに変換し、手動でアルバム、アーティスト情報を入力した。ぼくがPCにCDの内容を取り込むのは、iPodへの転送が主目的なので、余計なソフトのインストールは必要ない。許諾書にも同意しなかったためrootkitの常駐からは免れたというわけだ。
というくだりがある。したがって、XCPが何であろうがインストールを回避して音楽データだけをぶっこ抜くことは簡単で、とすれば海賊版だろうが何だろうがいくらでもできるわけだ。

かつてのCCCDもそうだったが、確信犯相手には全く効果がない。きちんと対価を払ってパッケージを購入した顧客だけに大きな不利益を与えているわけだ。しかも筆者には、これはSony BMGに限った問題とは思えない。音楽あるいは映画など業界として、目先の利益を守るのに汲々としているとしか見えない。しかし、お客様に対して、これほど敵対的と言ってもいい態度をとっているところが、存続するとは思えない。消滅していただいたほうが音楽あるいは映像文化の発展のためにもなるだろう。アーティストの方々にも、このような態度の企業とは契約をしないようにお願いをしたい。
今回の場合は、インターネットのセキュリティ全体に非常に大きな潜在的脅威を与えているから、さらに問題は深刻である。彼らは完璧なコピーコントロールをしたつもりだったかもしれないが、先日も書いたように、実際は完璧なウイルスばらまきだったわけだ。

* 前回の記事を少し訂正する。現時点で大手ベンダーのセキュリティソフトの多くが、この不正ソフトに「対応」したとしている。しかし、PC Watchの元麻布春男氏のコラムによると、対応の内容は、rootkit機能を除去してXCPが見えるようにするだけのようだ。XCPはそれ以外にもシステムに重大な改竄を行っており、無理矢理削除するとCD-ROMドライブが全く使えなくなるため、セキュリティベンダーですら簡単には手を出せないらしい。（XCPは「形式上」EULAにユーザが合意してインストールされたものなので、それを削除するのは法的な問題もある）

most successful malware distribution（Sony BMG CD問題4）

本当なら14日付の記事でこの問題は終わりにしたかったのだが、終わりにさせてくれないようだ。この件では一体何回度肝を抜かさせられるのか（もちろん悪い意味で）。
問題のソフトウェアを含むCDは当然リコールとなった。新しい声明文を見ると、ようやく彼らもことの重大さを認識できてきたのだろうかと思う。それでも、問題解決はやっと始まったばかりだろう。

見方を変えれば、これはウイルスばら撒きとして完璧な成功だったわけだ。
1. 少なくとも56万台という極めて大規模な感染を引き起こした
2. 大規模で世界中に及ぶ感染にもかかわらず、半年もの長い間露見しなかった
（問題の技術を利用したCDは、この記事によると過去8ヶ月にわたって出荷されているとのことだ。出荷から消費者の手に渡るまでのタイムラグを考えても、半年以上ばれなかったことになる。）
3. 一般ユーザの使う手段では検出できず、当然削除もできなかった
（今後は、主要ベンダーのセキュリティソフトやMSの不正ソフト削除ツールが対応するから、容易に削除できるだろうが）

うーん凄い。ネットワーク犯罪者はここまで完璧な仕事をしたいと思うだろう。

筆者としては、別に問題のCDを買っていないので、笑いながら状況を見守るつもりでないと精神衛生に悪そうだ。しかし、世界中で56万台以上、うち日本だけで21万台という数字を見ると、とても笑ってはいられない。別の記事によると、その調査で調べたDNSサーバは約300万台で、世界に存在する推定900万台の約3分の1という。感染総数を単純にこの3倍としても、もう背筋が寒くて寒くて。
この規模は筆者が（勝手に）想像していたよりはるかに大きい。楽観的な想像は、この事件についてはことごとく裏切られた。出てくる事実は全部「最悪」だ。問題のCDは日本ではそれほど出回っていないのでないかと思いこんでいた。また、CDを買った全員がそのCDをPCに挿入したわけではないだろうし、一人で問題のCDを複数枚買った人もいるだろうから、感染数はCDの販売数よりだいぶ少ない（半分くらいとか）、と勝手に想像していた。予想される感染総数は、販売されたCDの数に限りなく近い。

Sony BMG CD問題について（一応フォロー）

Sony BMG CDが組み込んだソフトウェアについては、有力セキュリティベンダーに続いて、Microsoftも駆除することを決定している。Windowsの元締めが「不正なソフトウェア」と認定した以上、このソフトウェアは遠からず駆除されるだろう。
Sony BMGも、さすがにこの技術を利用したCDの製造を一時中止すると表明している。

しかしもちろんこれで一件落着ではない。前にも書いたとおり、彼らが、このCDを購入した顧客の立場に立って、自分たちがどれほど悪質な行為をしたか認識できるかがまず問題である。その上で原状回復なり賠償なり責任ある行動ができるかどうかである。さもなければ、早晩類似の問題を起こすだろう。

さて、こんなことを3回にわたって取り上げたが、筆者はSony BMGの問題のCDを買ったわけではない。そもそも音楽CDとかDVDは全く購入しない。
個人で常時稼働のマシンを大量に抱えているため、コンピュータのセキュリティにはどうしても敏感になる。だから今回のことは許せない。

Sony BMG CD問題続き

9日付の投稿の続き。
彼らはまさに「火に油を注いで」いるように見える。なぜ非難されているか全くわかっていないようだ。
ITmediaの9日の記事より引用

「ほとんどの人はrootkitとは何かを知らないのだから、気に掛けたりしないのではないか」とSONY BMGのグローバルデジタルビジネス担当社長トーマス・ヘス氏は4日、National Public Radio（NPR）の取材に対して語った。

（Sony BMGの行為は）だからなおさら悪質で危険なのだ。なぜそれがわからない？
このコメントを読んだときは、本気で「消えてくれ」と思った。

Sony BMGのコピー防止CDの問題で思う

Sony BMGのコピー防止CDの問題については、詳細を知れば知るほどその悪質さに愕然とする。
詳細は各IT系ニュースサイトに譲る（一部一般紙でも取り上げられている）として、ごく短く言えば、そのソフトがrootkitと呼ばれるものと同種の技術を用いており、rootkitは通常ネットワーク犯罪者が不正侵入などの痕跡を消すために用いるものだ、とのことである。
また、ソフトウェアの技術的問題のみならず、インストール手法も詐欺的である。
Sony BMG側としては、問題のソフトがこれほど危険な技術を使っているとは認識していなかったかもしれない。筆者はメディア企業の関係者ではなく、内部事情については全く知識がないから、Sony BMG側の担当者にそれほどのIT専門家はいないのではないか、という単なる推測である。（rootkitを使っていると知って組み込んだのであれば「今すぐ逝け」である）。

ところで、問題のソフトがインストールされるときのEULA（使用許諾契約書）には、「小さなプロプライエタリソフト」という記述があるのみで、ソフトの具体的機能の説明はない（EULAの写し（Mark Russinovich氏による分析記事内））。例えば、楽曲データのコピー作成を監視して防止するとか（これはあくまで例えばであり筆者の想像）、何かあってもよさそうなものだが。そして、通常のユーザで削除可能な手段はいっさい用意されていない。
とすると、「ソフトウェアによる違法コピー防止機構であって、通常の手段では削除できないものをインストールする。かつ顧客にできる限り疑いをもたれないようにする」という程度の意図が推測できる。控えめに言っても悪意が感じられる。このやり口は、いわゆるスパイウェアまたはアドウェアをインストールさせる典型的な手法であり、詐欺に近いグレーゾーンである。

かつてのCCCD（コピーコントロールCD）問題といい、あるいは毛色は違うがのまネコ騒動といい、根は似ているように思える。メディア企業の傲慢でありあがきだろう（今回はそれ以上だが）。これまでのおいしいパッケージビジネスを維持すること（それが不可能なことははっきりしているのに）、あるいは新しい「打ち出の小槌」を見つけること、彼らはそればかりに必死のようだ。そこにはお客様の視点が全く抜け落ちている。どんな商売であれお客様がいなければ成り立たないのに。「自分たちが儲かれば何でもあり」と言わんばかりだ。
しかし結局は、自分で自分の首を絞めることになるだろう。CCCDと今回の問題と、CDの不正コピー防止と称する機構で2回も悪質な問題が起きたのだから、普通の顧客は、「不正コピー防止機能」のついたCDなど絶対に買うまいと思うだろう。たとえそれがお気に入りのアーティストあるいは曲目であっても、購入をやめる顧客は多いだろう。これは音楽文化全体にとっても大きなマイナスだ。音楽文化という畑がやせ細ったら、メディア企業が刈り取ろうと思っている収穫もなくなる。

自分の首を絞めるだけならともかく、今回は、ネットワークセキュリティの観点で危険な状態にあるPCを著しく増やしたという観点で、影響が音楽文化の範囲にとどまらない。ネットワーク犯罪者は、このソフトウェアがインストールされたままになっているPCを乗っ取ろうと必ず狙うだろう。この危険なコンポーネントが最後の1台から削除されるまで、Sony BMGとFirst 4 Internetは責任を持つべきだ。

参考: Mark Russinovich氏による分析記事を@ITが許諾を得て翻訳したもの。原文はこちら