「ソニーBMG製CD XCP問題」の版間の差分

ソニーBMG製CD XCP問題（ソニービーエムジーせいコンパクトディスク エックスシーピーもんだい）とは、アメリカ合衆国のソニーBMGミュージックエンターテインメント（現:ソニー・ミュージックエンタテインメント (米国)）の音楽CDに採用された米SunnComm Technologies製ソフトウェアに、マルウェアであるrootkitが含まれていた問題。ユーザーのPCのセキュリティを脆弱にするソフトウェアが、ユーザの同意を得ずに隠密にインストールされることなどが問題視された。

2005年10月に、コピーコントロールCD（CCCD、セキュアCD）の米SunnComm Technologies製セキュリティ技術に脆弱性が発見された。このCCCDをWindowsパソコンに入れて、ソフトウェア『XCP』のインストールに同意すると、rootkitプログラムを勝手にインストールしてしまい、更にXCPのアンインストールが不可能だという指摘がなされ、世界中から非難を浴び、アメリカ合衆国では訴訟へと発展した。このソフトの問題が発覚した後にマイクロソフトは、XCPを悪質なソフトウェアとして認定している。ちなみにソニーBMG側は、このコンピュータプログラムを完全に削除するツールを、マイクロソフトと協力して提供した。

なお、ソニー・ミュージックエンタテインメント（SMEJ）やBMGジャパンから発売される日本盤は、CCCDは採用していない（海外版・輸入盤で後述のリスト内のCDには注意が必要）。だが、ある調査によると^[1]、少なくとも568,200のネットワークにこのソニーのマルウェアに感染したコンピュータがあり、日本が21万7000台以上とアメリカの13万台以上を圧倒しているため、一部日本人ユーザーの間でそれ以外のCCCDにも同様の問題がないかと心配する声が盛り上がった^[要出典]。

また、この事件を期にハッカー達が米SonyBMG製を含む各種製品をリバースエンジニアリングした結果、同様の米SunnComm Technologies製コピープロテクト「MediaMax」が見つかった。このMediaMaxは、Microsoft Windowsのみならず、MacOS Xにも感染する能力を持ち、XCPよりも遙かに深刻な問題を含むという結果が報告された。

Amazon.co.jpやタワーレコードなどでは「XCP」入りのCD購入者に対し、購入代金の返金を行った。

2005年12月8日には、インストールされたXCPを悪用し『Antinny』を投下するコンピュータウイルスも報告された。

「XCP」について、株式会社ソニー・ミュージックエンタテインメント（SMEJ）が見解を出している。

• Microsoft Windows搭載コンピュータで使うとき、インストールされるプログラムの利用規約に 『rootkitをインストールします』と明示されていない。つまりユーザーの同意を得ていないコンピュータプログラムを、勝手にインストールしている点。
• SunnComm Technologies製のプログラムだけではなく、$sys$ が先頭についているファイルやプロセスが隠蔽される。これにより、視覚的に隠蔽されるだけでなく、アンチウイルスソフトウェアにも検知出来ない点。
• コンピュータプログラムをコンピュータ設定でアンインストールせず、単に手動で削除しようとすると、光学ドライブが二度と認識されなくなる点。
• 隠蔽行為を解除するためにリリースした、最初期のSunnComm Technologies製プログラム（ActiveX版）に、どのウェブサイトからも任意のソースコードを実行できるという「重大なセキュリティーホール」が含まれていた点。
• 上記プログラムを入手するには、ソニーBMGに個人情報を提供する必要があった点。
• AppleのiTunesに採用されているデジタル著作権管理「FairPlay」を回避するため、ツールのソースコードを流用したという疑惑^[2]。
• 著作権という知的財産権の保護の名の下に、許諾したユーザーの財産であるパソコンの内容を改竄し、ユーザーの所有財産権を侵害している点。

• 2005年10月31日 - Winternals社マーク・ルシノビッチが、ソニーBMGのXCP Technologyを採用した米国国内向けCCCDにrootkitが入っていて、容易に削除できないなどの問題があることをブログで指摘^[3]。
• 2005年11月1日 - アメリカ合衆国カリフォルニア州で、消費者団体が問題のCDの販売差し止めと、損害賠償を求める民事訴訟を起こす。
• 2005年11月2日 - ソニーBMGがこれを受けて、パッチツールをリリースする。当初は、プログラムのアンインストールツールとされていたが、実際はプロセスなどの隠蔽を停止する偽装ツールだったことが明らかになる。
• 2005年11月4日 - ソニーBMGがリリースした修正パッチをインストールすると、コンピュータが破壊される可能性があることを専門家が指摘する。また、XCPが勝手にパケット通信しているとも指摘する^[4]。
• 2005年11月10日 - ソニーBMGのCDに、LAMEのソースを流用した形跡があることが報じられる^[5]。これが事実ならLGPLに違反する。
• 2005年11月11日 - ソニーBMGが、問題の技術の使われたCDの生産を一時停止すると発表。
• 2005年11月15日 - プリンストン大学のEd Felten教授が、ソニーBMGがリリースした、この問題に関するWebベース版のアンインストールツールに、重大なセキュリティーホールがあることを、自らのブログで明らかにする^[6]。
• 2005年11月16日 - ソニーBMGが、問題の技術の使われたCDをリコールすると発表。
• 2005年11月17日 - さらに2件のGPL違反（FAACとmpg123のソース流用）を指摘される^[2]。
• 同日 - ソニーBMGのXCPとは別の技術を使った、MediaMaxのアンインストーラーにも、重大なセキュリティーホールがあることを指摘される^[7]。
• 2005年11月21日 - LAMEプロジェクトが、LAMEプロジェクト管理人名義でソニーBMGに対して公開質問状を出す^[8]。
• 同日 テキサス州が、ソニーBMGの一部CDに「スパイウェア」が入っていて、州法に違反しているとして、ソニーBMGを提訴^[9]。認められれば、最大で違反1件当たり罰金10万ドル。また、市民団体「電子フロンティア財団（EFF）」が、XCPだけでなく、MediaMaxを使用したCDも合わせた、2400万枚についての損害賠償を請求した。
• 2005年11月28日 - プリンストン大学のEd Felten教授が、MediaMaxプロテクトに関しても、問題があることを指摘する^[10]。教授は、MediaMaxには旧式のCD-3と新方式のMM-5の2種類があるが、CD-3を入れた後、MM-5を入れるか、MM-5を入れてから、CD-3を入れるか、MM-5を2回入れると、ソフトの利用規約の同意の有無にかかわらず、ドライバがインストールされると主張している。
• 2006年5月22日 - 米連邦裁判所判事が、和解案を最終承認する^[11][12]。
• 2006年12月20日 - 米カリフォルニア州の損害賠償訴訟で、75万ドルを消費者団体などに支払うことで和解。
• 2006年12月22日 - 米マサチューセッツ州など、40州と425万ドルを支払うことで和解。

1. ^ Dan Kaminsky「Welcome To Planet Sony」。2005年11月15日、 DoxPara Research。
2. ^ ^{a b} Sebastian Porst「Two new F4I license infringements found」。2005年11月17日、Programming stuff
3. ^ Mark Russinovich「Sony, Rootkits and Digital Rights Management Gone Too Far」。2005年10月31日、Mark's Blog。
4. ^ Mark Russinovich「More on Sony: Dangerous Decloaking Patch, EULAs and Phoning Home」。2005年11月4日、Mark's Blog。
5. ^ 「SONY BMG製CCCDにLAMEのソースコードを盗用した疑い」。2005年11月12日、スラッシュドット ジャパン。
6. ^ Ed Felten「Sony’s Web-Based Uninstaller Opens a Big Security Hole; Sony to Recall Discs」。2005年11月15日、Freedom to Tinker。
7. ^ Ed Felten「Not Again! Uninstaller for Other Sony DRM Also Opens Huge Security Hole」。2005年11月17日、Freedom to Tinker。
8. ^ The LAME maintainers「Open letter to Sony BMG (and its owners, Sony and Bertelsmann), First4Internet, and the LAME community.」。2005年11月21日、LAMEプロジェクト。
9. ^ 「テキサス州、スパイウェア規制法違反でSONY BMGを提訴」。2005年11月22日、ITmediaニュース。
10. ^ Ed Felten「MediaMax Permanently Installs and Runs Unwanted Software, Even If User Declines EULA」2005年11月28日、Freedom to Tinker
11. ^ 「Judge Grants Final Approval for Sony BMG CD Settlement」。2006年5月22日、Electronic Frontier Foundation。
12. ^ 「SONY BMGのrootkit CD訴訟、和解を最終承認」。2006年5月23日、ITmediaニュース。

ウィキニュースに関連記事があります。

• 米SONY BMGの音楽CD、パソコンの安全を脅かす

• F-Secure blog（ソニーBMG CCCD問題を一番早くに見つけたセキュリティ会社） （英語）
• 「XCP」入りCDタイトル一覧SONY BMGArchived 2008-12-24 at the Wayback Machine. （英語）
• 「XCP」収録CDタイトル一覧 （（株）ソニー・ミュージックジャパンインターナショナル 輸入分のみ） （日本語）
• 米国SONY BMG発売商品における対応に関するお知らせ （日本語）

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

• 表示
• 編集

この項目は、音楽に関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（ポータル 音楽/ウィキプロジェクト 音楽）。

• 表示
• 編集

表 話 編 歴
ソニー	ソニーネットワークコミュニケーションズ SMN ソニーエナジー・デバイス ソニー・オリンパスメディカルソリューションズ ソニーグローバルマニュファクチャリング&オペレーションズ ソニーデジタルネットワークアプリケーションズ ソニーPCL ソニーマーケティング フロンテッジ フェリカネットワークス ジャパン・アドバンスト・セミコンダクター・マニュファクチャリング（JASM）
ソニー・ エンタテインメント	表 話 編 歴 ソニー・ピクチャーズ エンタテインメント ソニー・ピクチャーズ モーション ピクチャー グループ コロンビア ピクチャーズ トライスター ピクチャーズ トライスター・プロダクションズ スクリーン ジェムズ ソニー・ピクチャーズ クラシックス ソニー・ピクチャーズ・イメージワークス ソニー・ピクチャーズ アニメーション ソニー・ピクチャーズ・ワールドワイド・アクイジションズ アファーム フィルムズ デスティネーション・フィルムズ ステージ 6 フィルムズ ソニー・ピクチャーズ ホームエンタテインメント ソニー・ピクチャーズ リリーシング コロンビア・ピクチャーズ・アクアバース ソニー・ピクチャーズ テレビジョン GSN AXN Crunchyroll ソニー・ピクチャーズ エンタテインメントジャパン カテゴリ ソニー・ミュージック エンタテインメント (米国) コロムビア・レコード RCAレコード エピック・レコード ソニー・クラシカル レガシー・レコーディングス ミニストリー・オブ・サウンド Gracenote VEVO アーティスト&ミュージックビジネス ソニー・ミュージックパブリッシング ソニー・ミュージックエンタテインメント・ジャーマニー
ソニー・ミュージック エンタテインメント (日本)	表 話 編 歴 ソニー・ミュージックエンタテインメント（ジャパン） レーベル ソニー・ミュージックレーベルズ ソニー・ミュージックレコーズ エスエムイーレコーズ ソニー・ミュージックアソシエイテッドレコーズ SACRA MUSIC アリオラジャパン エピックレコードジャパン キューンミュージック ソニー・ミュージックジャパンインターナショナル ソニー・クラシカル ソニー・ミュージックダイレクト アルファミュージック（音楽レーベル、一部のアーティストを除く） FUNSUI アーティスト＆ ミュージックビジネス ソニー・ミュージックアーティスツ ソニー・ミュージックパブリッシング ミュージックレイン ソニー・ミュージックマーケティングユナイテッド 次世代 ビジュアル＆ キャラクタービジネス アニプレックス A-1 Pictures CloverWorks Boundary ラセングル ソニー・クリエイティブプロダクツ Crunchyroll エンタテインメント ソリューションビジネス ソニー・ミュージックソリューションズ ソニー・ミュージックスタジオ エムオン・エンタテインメント Zeppホールネットワーク - Zeppライブ 関連会社 乃木坂46合同会社 Seed & Flower合同会社 バズウェーブ合同会社 アルファミュージック ブックリスタ 過去のレーベル&グループ会社 ジャレード ダブル・オーレコード TRUE KiSS DiSC ボイスアンドハート BMGジャパン ソニー・マガジンズ デフスターレコーズ ソニーDADCジャパン レーベルゲート Rojam Entertainment フォワードワークス 関連項目 ソニーグループ ソニー・ミュージックエンタテインメント 米国 ドイツ THE FIRST TAKE MUSIC ON! TV Stagecrowd 関連カテゴリ アーティスト シングル アルバム 映像作品 ゲームソフト カテゴリ
ソニー・インタラクティブ エンタテインメント	表 話 編 歴 ソニー・インタラクティブエンタテインメント 主な製品 プラットフォーム PlayStation toio IP けだまのゴンじろー Bラッパーズ ストリート State of Play 開発部門・グループ会社 Bungie, Inc. Gaikai SN Systems 表 話 編 歴 PlayStation Studios アジア Team ASOBI ポリフォニー・デジタル 北アメリカ ノーティードッグ サンタモニカスタジオ ベンドスタジオ サンディエゴスタジオ サンマテオスタジオ Pixelopus サッカーパンチプロダクションズ インソムニアックゲームズ ブルーポイントゲームズ Valkyrie Entertainment Haven Entertainment Studios ヨーロッパ ゲリラゲームズ メディアモレキュール Sony XDev Europe Housemarque Firesprite Nixxes Software Neon Koi 閉鎖 989スタジオ ビッグビッグスタジオ インコグニート スタジオリバプール ジッパーインタラクティブ ゲリラケンブリッジ Evolution Studios マンチェスタースタジオ ジャパンスタジオ Pixelopus ロンドンスタジオ フラン チャイズ アンチャーテッド inFAMOUS 怪盗スライ・クーパー KILLZONE グランツーリスモ ゲッタウェイ ゴッド・オブ・ウォー サイフォンフィルター SIREN サルゲッチュ ジャック×ダクスター SOCOM Twisted Metal どこでもいっしょ パタポン みんなのGOLF MedEvil MotorStorm ラチェット&クランク リトルビッグプラネット RESISTANCE Wipeout ワイルドアームズ 過去 ソニーオンラインエンタテインメント アーク・エンタテインメント シュガーアンドロケッツ（エグザクト） コントレイル ディープスペース セリウス OnLive 表 話 編 歴 ソニー・インタラクティブエンタテインメントの家庭用ゲーム機 プラットフォーム 据置型 PS ソフト PS2 ソフト PS3 システム ソフト ゲームアーカイブス PSP Remaster 歴史 PS4 システム ソフト PS5 ソフト 携帯型 PocketStation PSP システム ソフト ゲームアーカイブス PS Vita システム ソフト ゲームアーカイブス PS one PS one Books PSX PSP go PS Vita TV PS Classic サービス SEN/PSN PS Store PS Home トロフィー アドホック・パーティー PS Plus PS Mobile PS Now PS Awards PS CLUB PS BB PSランドの大冒険 PS Spot プレコミュ Jスタとあそぼう 周辺機器 PS DUALSHOCK ネットやろうぜ! PS2 DUALSHOCK 2 EyeToy Popegg PS2 Linux HDDユニット/BB Unit PS3 DUALSHOCK 3 PS Eye PS Move torne nasne PS4 DUALSHOCK 4 PS Camera PS Move PS VR nasne PS5 DualSense PS VR PS VR2 PS Portal PSP ちょっとショット GPSレシーバー PS Vita nasne 関連項目 人物 久夛良木健 丸山茂雄 後藤禎祐 平井一夫 吉田修平 マーク・サーニー アンドリュー・ハウス プロセッサー PS2 Emotion Engine Graphics Synthesizer PS3 Cell Broadband Engine RSX Reality Synthesizer PS5 Ryzen Radeon 東芝 IBM AMD キャラクター 井上トロ ピポサル カテゴリ コモンズ 任天堂 ソニー セガ NEC 左記以外 カテゴリ
ソニーフィナンシャルグループ	ソニー生命 ソニー損保 ソニー銀行 ソニーライフ・エイゴン生命 ソニーペイメントサービス
ソニーセミコンダクタソリューションズ	ソニーセミコンダクタマニュファクチャリング
その他の会社	ソニーコンピュータサイエンス研究所 SREホールディングス エアロセンス エムスリー ブックリスタ ソニー・コーポレーション・オブ・アメリカ Sony Creative Software ソニー・ホンダモビリティ
過去のグループ会社	ソニーモバイルコミュニケーションズ ソニーイメージングプロダクツ&ソリューションズ ソニーホームエンタテインメント&サウンドプロダクツ ソニービジュアルプロダクツ ソニービデオ&サウンドプロダクツ ソニーエレクトロニクス ソニーファイナンスインターナショナル コアエッジ スタイリングライフグループ デクセリアルズ VAIO ソニービジネスソリューション ソニー・ミュージックコミュニケーションズ レーベルゲート ソニーDADCジャパン ソニーバンク証券 ファニメーション AnimeLab
主な製品・ブランド	ロボット（aibo） α BETACAM Blu-ray ブラビア BDZ CD サイバーショット DAT NT DVD SACD ハンディカム HDCAM/HDCAM-SR ICレコーダー Reader メモリースティック ミニディスク DV PlayStation FeliCa S/PDIF UMD 8ミリビデオ ウォークマン XDCAM Xperia So-net 360 Reality Audio
過去の 主な製品・ブランド	ロボット（QRIO・poiq） Skysensor ベータマックス CLIE ジャンボトロン マビカ デジタルマビカ QUALIA トリニトロン Uマチック WEGA mylo ロケーションフリー NETJUKE VAIO Sony Tablet アイワ ソニーマイクロトレーン
関連団体	ソニー教育財団 学校法人ソニー学園 ソニーHC BRAVIA Ladies ソニー仙台FC ソニーセミコンダクタマニュファクチャリング BLUE SAKUYA コロンビア・ピクチャーズ・アクアバース
出来事	ソニーチョコレート事件 ゲートキーパー問題 デビッド・マニング事件 コピーコントロールCD ソニーBMG製CD XCP問題 PlayStation Network個人情報流出事件 SPEへのハッキング事件
主な人物	井深大 盛田昭夫 岩間和夫 大賀典雄 出井伸之 盛田正明 ハワード・ストリンガー 久夛良木健 黒木靖夫 平井一夫
カテゴリ コモンズ