2005年11月17日(木)

Sony BMGはもうだめかもわからんね

ソニーのスパイウェア、政府・軍を含む50万以上のネットワークを汚染(Engadget Japanese)
XCP「rootkit」組み込みマシン、日本は最多の21万台?――専門家が指摘(ITmedia)
SONY BMG、rootkit的DRMめぐり訴えられる(ITmedia)
SONY BMGのrootkit的手法、集団訴訟の可能性(ITmedia)
Symantec、SONY BMGのDRM技術を悪用したウイルス「Ryknos」を警告(Internet Watch)
「穴」を広げるSONY BMGのXCPアンインストーラ(ITmedia)
SONY BMGのXCP削除ツール、批判受け配布中止(ITmedia)
ホントかよXCP日本で21万台(コデラノブログ)
ソニーBMG社CD:感染は50万以上のネットワークに?(上)(Hotwired)
米ソニーBMG:音楽CDのウイルス懸念、訴訟に発展(Hotwired)
ワイアード・コラムニスト「ソニー製品ボイコットを」(上)(Hotwired)
ワイアード・コラムニスト「ソニー製品ボイコットを」(下)(Hotwired)

「公開したrootkit削除ツール自体がかえってセキュリティホールを広げる」という身体を張ったギャグでみんなを和ませようとしたものの、シャレが通じず(ギャグとしてレベル低すぎるよね)消費者からセキュリティ関係者まで、多くの人が怒ってます。

小寺さんが指摘してるように、日本で21万台も仕込まれてるってのはちゃんとした検証が必要だろうけど、むしろこの数字が正しいのならば、ここを突いていくことでもっと大物のネタ(例えばこんな感じのネタとか)が出てくる可能性もあるよね。日本での感染はXCPのrootkitがconnected.sonymusic.comに情報を送信していることから日本で発売されてるConnecteD対応CDにrootkitが仕込まれてるんじゃないの? という指摘も出てきてる。が、名前こそ同じだけどconnected.sonymusic.comは海外のコネクトカンパニーがやってることだと思うので、日本のConnecteDとは関係ない(また、SonicStageやVAIOには入ってない)んじゃないかなーというのが現段階での俺の推測(根拠は俺の勘。いや勘だけじゃなくていろいろあるっちゃあるけどここでは割愛しておく。間違ってたらスマン)。

聞いた話だけど、この問題がこれだけ米国で毎日のように報道されている背景には、シリコンバレーが「ソニー(Sony BMG)憎しで団結している」ということがあるとのこと。まぁユーザーが同意もせずに勝手にマルウェアをインストールして、それが結果としてセキュリティホールを広げるようなことをして、傲慢な開き直りしてるんだから当たり前といえば当たり前なんだけど、これまでシリコンバレーの「悪役」であったマイクロソフトに代わって今月はSony BMGが完全な悪役になっているのだとか。まぁIT業界から見たら音楽業界は明らかにぬるい業界だし、彼らのセキュリティ意識がどんなものなのかっていうことが今回の一見で表面化したわけだから、そういう意識レベルの対立が今回の事件を際だたせているという部分はあると思うね。

日本がファッキンな東芝EMI以外CCCDをやらない方向に動いて、この問題は取りざたされることが少なくなったんだけど、その一方でここ1年くらい海外では(米国も)CCCDが増えていた。個人的にそのことは大問題だよなーと思っていたので、今回の事件はCCCDが根絶される契機になるかもしれないという「逆説的な」意味で「歓迎すべき」事態ですよ。もっともっといろいろなメディアが総力を挙げて叩くべきだし、俺も本気で叩かなきゃいけないなーと思ってる。

やはりCCCDはナンセンス以外の何者でもないし、これは「著作権を大事にする」とかそういうレベルの話じゃないのだ。いい加減CCCD問題で「著作権」を免罪符に使うのやめよーぜ。一番肝心なアーティストたちのほとんどはCCCD導入することがいいなんて思ってないんだから。


(追記)
一連のSony BMG問題をまとめたflashが公開されてますね。こういうのを誘発させるだけのことをやっているってことをどう上が自覚できるかどうかだな。

・シリコンバレーが叩いているのはプライドではなく専門家の社会的責任に対する意識という指摘が。なるほどそれは確かにその通りだ。音楽業界は今まで社会的責任とは無関係なところで商売できてきたから、ネットやITが登場したことでこういう対立が生まれているという考え方もできますわな。

・そしてまた更なる炎上ネタが。

350 :名無しさん@お腹いっぱい。:2005/11/18(金) 01:32:57 ID:0Kb4Ce9d
問題となっているソニーBMGのRootkitだが、さらにまた新たな疑惑が浮上した。 DVD JonがハックしたVLCのソースコードの一部「demux/mp4/drms.c」を盗用した疑いが持たれている。 これが事実なら、GPL違反となるのみならず、”悪名高い”DVD Jonのコードを大手企業が盗用したスキャンダルとなる。

以下盗用箇所に関する具体的な解析結果。

Breakthrough after breakthrough in the F4I case
http://www.the-interweb.com/serendipity/index.php?/archives/20051117.html
Muzzy's research about Sony's XCP DRM system
http://hack.fi/~muzzy/sony-drm/

ソース:
DVD Jon's Code In Sony Rootkit?
http://yro.slashdot.org/yro/05/11/17/1350209.shtml?tid=188&tid=158
DVD Jonとは?:
http://japan.cnet.com/news/media/story/0,2000047715,20084873,00.htm
関連スレ:
ソニーBMG製スパイウェア、LAMEのソースコードを盗用?
http://news19.2ch.net/test/read.cgi/news/1131746213/


351 :名無しさん@お腹いっぱい。:2005/11/18(金) 04:43:51 ID:0Kb4Ce9d
自信ないけど、適当に翻訳してみた。

ソニーBMG(以下同社)のRootkit問題が発覚して久しいが、疑惑はとどまるところを知らない。問題は、先頃同社による盗用が指摘された著名なハッカー、DVD Jonのコードに端を発する。

盗用の主な論拠とされるのは、ある関数の制御フロー、すべての定数、 おまけにマジックナンバーで構成された2つの配列までもが、たったひとつの改窮された形跡を除いて完全に一致する事である。極めつけに、その配列の1つにあるrot13暗号化された文字列を復号して現れたのは、 "copyright (c) Apple Computer, Inc. All Rights Reserved."という文字列であった。 解析を行ったMuzzy氏は、Appleが法廷闘争を仮定して埋め込んだものと推測している。

さらに悪いことに、盗用とされたのはVLCの「demux/mp4/drms.c」であった。 ほかでもないAppleのiTunesに採用されているDRM「Fair Play」を回避するためのコードなのである。このコードが何をやっているか、何もしていないのかについては、今後の解析を待たねばならないようだ。

もし盗用が事実であれば、同社はGPLのみならずDMCAおよびEUCDを侵害することになりかねない。

ソース:
Muzzy's research about Sony's XCP DRM system
http://hack.fi/~muzzy/sony-drm/
Proof that F4I violates the GPL
http://www.the-interweb.com/serendipity/index.php?/archives/55-Proof-that-F4I-violates-the-GPL.html#extended
DVD Jon's Code In Sony Rootkit?
http://yro.slashdot.org/yro/05/11/17/1350209.shtml?tid=188&tid=158
DVD Jonとは:
http://japan.cnet.com/news/media/story/0,2000047715,20086927,00.htm

XCPの技術自体ははSony BMGが開発したものじゃなくてFirst 4 Internetっていう企業に投げたものなわけだけど、組むパートナー間違えたって感じになってるんじゃないのかねぇ。しかし、CCCDの技術作る企業はMIDBARといい、First 4 Internetといい、ロクでもないところばっかだな。

| CCCD | この記事のURI | Posted at 16時53分 |

_EOF_