ソニーBMGのコピー防止機能付きCDにまた別のセキュリティ問題

　ソニーBMGと電子フロンティア財団（Electronic Frontier Foundation：EFF）は米国時間6日、ソニーBMGが発売しているCDの一部でコンピュータセキュリティに関する新たな危険性が発見されことを共同で発表した。ソニーではすでにこの問題を解決しているという。

　新たに発見された脆弱性を含むのは、SunnComm Technologiesが開発したコピー防止ソフトウェアを含むCDで、攻撃者はこの脆弱性を悪用することで、同ソフトウェアが動作するコンピュータを乗っ取ることができてしまう。このプログラムは通常、それを含むCDがコンピュータに挿入された時点で自動的にインストールされる。

　この問題の影響を受けるCDは、11月に470万枚のリコールやソニーBMGに対する訴訟の原因となったコピー防止用ソフトウェア搭載CDとは別のものだという。

　「このセキュリティ上の問題に関するわれわれの通知を受けて、ソニーBMGが迅速かつ責任を持って対応したことをうれしく思う」とEFFの弁護士Kurt Opsahlは声明のなかで述べている。「消費者は早急に必要な手段を講じ、自分のコンピュータを保護するべきだ」（Opsahl）

　今回の発表は、著作権侵害対策に関連した一連の重大なセキュリティ問題を受けて、ソニーBMGの販売するコピー防止機能付きCDを詳細に調査した結果、明らかになったものだ。

　ソニーBMGのコピー防止機能付きCDは8カ月以上前から市場に出回っていた。しかし、10月下旬にMark Russinovichというブロガーが、同社のCDに「rootkit」と呼ばれるプログラミングツールがひそかにインストールされることを発見した。このrootkitは、通常はハッカーが重大なセキュリティホールを開けるなどの目的で、ウイルスをハードドライブ内に隠すために使われてる。

　ソニーのコピー防止機能付きCD問題は、他の研究者がセキュリティ上の脆弱性を新たに発見したことで、一層の広がりを見せていた。問題のコピー防止機能は、英国企業のFirst 4 Internetが開発した。この問題によるセキュリティホールを使った悪意あるコードが配布され始めたことで、ソニーBMGは、First 4 Internetの技術を採用したCDをリコールするとともに、該当する52種類のCDを購入した消費者に対して交換プログラムを提供していた。

　これらの事実が発覚したことで、EFFは、コンピュータセキュリティ企業iSec Partnersに、SunnComm製コピー防止技術を含むソニー製CDを調査するよう依頼していた。ソニーによると、米国内で販売されている同技術を採用したCDは27種類になるという。iSecの調査の結果、6日に発表されたセキュリティホールが発見され、ソニーに通知されていた。ただし、その危険度については、SunnCommがパッチを作成するまで公表されなかった。

　ソニーによると、このパッチは、別のセキュリティ関連企業NGS Softwareが検査し、問題の脆弱性に対して有効と認定したものだという。

　このパッチはソニーのウェブサイトからダウンロード可能になっている。また同サイトには、米国およびカナダで販売されている当該CDの一覧も掲載されている。

　ソニーは、バナー広告をSunnCommソフトウェアに直接入れることや、インターネット広告キャンペーンを通じて、顧客に通知することを考えていると述べた。