2005年11月17日

ソニーBMG製「rootkit」つきCDをリコール…しかし

ソニーBMG、「rootkit」CDのリコール発表--別のセキュリティ問題も発覚

 ソニーBMG(以下、ソニー)は米国時間15日、数百万枚のCDをリコールすることを明らかにした。これらのCDをPCで再生すると、そのコンピュータに深刻なセキュリティリスクが生じる可能性がある。

 ソニーによると、Van ZantやNeil Diamondの最新アルバムをはじめとする18以上のタイトルについて、同社は販売済みCDの交換に応じるという。同社はまた、CD交換プログラムの詳細を「まもなく」公表することも明らかにした。(後略)

元記事:CNET Japan
http://japan.cnet.com/news/sec/story/0,2000050480,20090983,00.htm



( ・ω・)ノと、言う訳でまだまだ続く米ソニーBMG製CDの問題でありますよ。
とうとうソニーBMGはこれらPCで再生する事によってコンピュータに深刻なセキュリティリスクをもたらす可能性があるCDをリコールする事にしたそうですのぉ。
ソニーBMGが明らかにした所では、この問題となっている「XCP」と呼ばれるコピー防止技術を組み込んだCDを過去8ヶ月間に470万枚製造し、その内の210万枚以上が販売済との事だそうですよ。

ヾ(´ω` )で、その問題のコピー防止技術のプログラムを削除する為のツールを、ソニーBMGでは配布していた訳ですが、そのツールがセキュリティホールを埋めるどころか、実際には更にセキュリティホールを広げてしまう事が、研究者の指摘によって明らかになってしまったと言う訳ですね。
研究者に言わせると「セキュリティの観点から見ると驚く程ひどい設計」だそうですよ。
既にソニーBMGの方では批判を受けてそのアンインストールツールの配布を停止したそうですけどね。

( ・ω・)ノこのアンインストールツールの実体はActiveXコントロールだそうで、これを使ってPCをオープンな状態にして、インターネット経由で送られるコードをダウンロードして、インストール出来る様にする訳なんですがの。
「Safe for scripting」と言うマークが、今回のこのアンインストールツールのActiveXコントロールには付けられているそうで、このマークが付いているとIEのセキュリティ設定を高めていない限りは、web上のスクリプトから簡単に呼び出せてしまう訳なんですのぉ。
このアンインストールツールがシステムに影響を与える様な動作が可能であるにもかかわらずですよ。

ヾ(´ω` )本来システムに影響を与える様な動作を行うActiveXコントロールには「Safe for scripting」マークを付けない事が常識となっているそうなんですけどねぇ。
しかもこのツール、ソニーBMGあるいは「XCP」の開発元のFirst 4 Internetから送られたコードであるかどうかを全く確認しないそうなんですよね。
つまり、このコントロールを呼び出す様にスクリプトが記述されていれば、いかなるコードであろうともダウンロードしてインストールし、実行出来る事が可能であると言う事なんですね。

( ・ω・)ノセキュリティホールを塞ぐつもりが思いっきり穴を広げているとしか思えない話ですのぉ。
その後ソニーBMGは新しいアンインストールツールと差し替えて、そっちは安全らしいと言われてはいますけどのぉ。
とは言うものの今までのを見るとちょっと安心して使うと言う気分にはちょっとなれませんのぉ。
ちなみにこの問題のCDによってXCPの「rootkit」がインストールされてしまったPCは世界中で56万台以上あると専門家が調べた統計で明らかにされてますけども、その内に日本に半分近い21万台超が存在している可能性があると言ってるそうですのぉ。

ヾ(´ω` )本当にそれだけ日本にあるかどうかはともかくとして、早急になんとかしないと、重大なセキュリティインシデント…コンピュータシステムの安全に関わる出来事に既になりつつありますからねぇ。
とにかく、日本にも輸入盤で入ってる可能性がありますからね、心配のある人は関連するサイトなどをチェックして、自分のPCに入り込んでないかチェックが必要でしょうね。
販売済のCDについてはCDをXCPの使われていない物と交換してくれるそうですので、詳細が公開されるのを待ちましょう。
日本でも対応してくれるといいんですけどね。
それにしても、穴を塞ぐつもりで広げるとは笑い話にもなりませんねぇ(汗)
以下は今回の問題の参考ページですよ。

参考ページ
CNET Japan
ソニーBMG、「rootkit」CDのリコール発表--別のセキュリティ問題も発覚
http://japan.cnet.com/news/sec/story/0,2000050480,20090983,00.htm

Internet Watch
SONY BMG、コピー防止ソフト「XCP」入りの音楽CDを交換・回収へ
http://internet.watch.impress.co.jp/cda/news/2005/11/16/9879.html

IT media
「穴」を広げるSONY BMGのXCPアンインストーラ
http://www.itmedia.co.jp/news/articles/0511/16/news021.html
SONY BMGのXCP削除ツール、批判受け配布中止
http://www.itmedia.co.jp/news/articles/0511/16/news022.html
XCP「rootkit」組み込みマシン、日本は最多の21万台?――専門家が指摘
http://www.itmedia.co.jp/news/articles/0511/16/news026.html
SONY BMG、XCP付きCDを交換へ
http://www.itmedia.co.jp/news/articles/0511/16/news032.html

Wired News
ワイアード・コラムニスト「ソニー製品ボイコットを」(下)
http://hotwired.goo.ne.jp/news/culture/story/20051116203.html

IT Pro
ソニーBMGのコピー防止ソフト用アンインストール・ツールに問題,配布を一時中止
http://itpro.nikkeibp.co.jp/article/NEWS/20051116/224670/
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック
いただいたトラックバックは、spamトラックバック排除の為にすぐには表示されません。管理者による承認後表示されます

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は180日以上新しい記事の投稿がないブログに表示されております。