ソニーBMGのrootkit問題はその後どうなったか

CCCDの台頭

　数年前、レコード会社がCDのコピーを防止するためのコピーコントロールCD（以下CCCD）を相次いで採用しました。しかしこれは、コピーが出来なくなるだけではなく、本来自己の使用範囲内で認められているエンコードも困難で、MP3プレイヤーなどで聴けない（とはいえ、やろうと思えばわりと出来たみたいですが）、パソコンのプレイヤーどころか既存のプレイヤーでも再生できない場合がある（最悪機器を壊す可能性がある）、それに音質を犠牲にしているということで、ユーザーのみならずアーティストからも強い反対が出ました。

　■コピーコントロールCD – Wikipedia

　よって、業界一律採用とはならず、会社によっては採用を見送るところもそれなりにありました。

XCPの登場

　さて、その中で生まれたCCCDのひとつに、XCP（正式名はExtended Copy Protection）というものがあります。これはコピーガードの一種であり、それがそのままソニーBMG・ミュージックエンタテインメントから発売された一部のCDで使われました。しかしこのCDを使用したパソコンにおいて、どうも意味不明のクラッシュが起こる、という話題が夏頃から出始めたようです。
　しかし、2005年10月31日、Sysinternals社マーク・ルシノビッチ氏によって、このXCPが入ったCDをパソコンで使った場合、ソフトが勝手にインストールされ、それがセキュリティ的に大きな問題を生じかねない点があるという発表がなされました。そこから話題が広まり始め、ネットユーザーのこれについての調査が始まります。そして勝手にインストールされたソフトが起こす挙動としてわかったものはWikipediaから引用すると以下の通り。

・先頭に$sys$という名前がつくファイル及びプロセスを、完全に不可視にする。
・ Windowsのシステムファイルを上書きし、CDドライブの使用状況を監視する。
・ 音楽CDの転送時にランダムにノイズを挿入し、正常なクリッピングを不可能にする。
・CDドライブに入れた音楽CDの情報等を、Sony BMG Music社のサーバー群(connected.sonymusic.com等)へ送信する。
・アンインストールする事ができない。

　わかりやすく言うと、わからないうちにインストールされたソフトが、PCを監視してその情報をSony BMG社のサーバーに送信する。その上アンインストールすることができないというものだったのです。これは事実上、スパイウェアをみなされてもおかしくないものであり、ネット上は大騒ぎとなりました。さらにこの後、このXCPのバグを利用して、任意のコードを実行することができるという、セキュリティーホールまで発見されて問題となりました。
　その上もうひとつ、XPCのほかに、MediaMaxというものも見つかりました。これらのrootkitをまとめて、日本のネットでは「ソニーウィルス」とまで言われました。
　ちなみにこのXCPが使われたCCCDは、日本では流通しませんでしたので影響はありませんでしたが、当時、日本からソニーBMGへのアクセストラフィックがかなりあったという噂も流れ、これらCCCD以外で日本に流通しているものでも何かrootkitが仕組まれている？という噂が流れました（現在でも真偽は不明）。

　■参考：Extended Copy Protection – Wikipedia
　■参考：ソニーウィルス – Wikipedia

訴訟発生とソース流用問題

　前述のXCPに問題があると発表されたのが2005年10月31日ですが、ここから物事がものすごい勢いで進みます。まず、翌11月1日、米国カルフォルニア州で消費者団体が、問題のCDの販売差し止めと損害賠償を求める訴えを起こします。
　それを受けて11月2日 、ソニーBMGがこれをうけてツールをリリースしますが、これがアンインストールツールではなく、実際はプロセス等の隠蔽を停止するツールだったことが明らかになるとユーザーの怒りが再燃焼します。
　さらに11月10日、ソニーBMGのCDにLAMEのソースを流用した形跡があることが報じられます。これが本当なら、商用流用を禁じているLGPLに違反することになるので、後LAME側が公開質問状を送付する展開にまでなります。
　この問題の広まりを受けて、各種セキュリティソフトベンダーがこれをトロイの木馬であり、かつルートキットであると定義します。そして2005年11月12日、マイクロソフトも、これをウイルスと認めます。
　さらに11月21日、テキサス州が、ソニーBMGの一部CDに「スパイウェア」が入っていて州法に違反しているとしてソニーBMGを提訴します。認められれば、最大で違反一件当たり罰金10万ドルとなります。その上、市民団体「電子フロンティア財団(EFF)」がXCPだけでなくMediaMaxを使用したCDもあわせた2400万枚についての損害賠償を請求しました。

　■参考：ソニーBMG製CD XCP問題 – Wikipedia

訴訟の結果

　明けて2006年5月22日、米連邦裁判所判事が和解案を最終承認、そして年末の12月20日、米カルフォルニア州の損害賠償訴訟で75万ドルを消費者団体などに支払うことで和解、また米マサチューセッツ州など40州と425万ドルを支払うことで和解し、一応の決着を見ます。
　ただ、この頃になるとCCCD自体が様々な動きによって、事実上廃止に向かっていました。おそらく、この事件がとどめを刺した感じになったとも言えます。

そして現在……

　今では事実上、CCCDは国内では全滅しているといって良いでしょう（希に中古CDショップでワゴンに入っているのは見かけますが）。
　だけど結局、CCCDって何だったんだろうって思いますね。たしかに違法に利用されるのは好ましくないのは気持ちとしてわかります（自分が使うためではなく、あたりまえのようにコピーして販売、譲渡しているケースはどうかと思いますし、排除すべきでしょう）。だけど、それだからといってユーザーを全員泥棒扱いして、不利益を押しつけたところに問題があるのでしょうね。だけど、音楽ではない他の場所で、また歴史が繰り返そうとしている気がするのは私の気のせいでしょうか……例えばコピワンとか、B-CASとか……