米EFFが公開する情報
米EFFが公開する情報
[画像のクリックで拡大表示]

 米国の非営利団体Electronic Frontier Foundation(EFF:電子フロンティア財団)は米国時間12月7日,米SONY BMG Music Entertainment(ソニーBMG)の音楽CDなどに含まれるコンテンツ保護ソフトウエア「MediaMax Version 5」の脆弱性を修正するパッチ(アップデート)やアンインストール・ツールを適用しないよう呼びかけた。これらにはセキュリティ上の問題があるという。

 11月,ソニーBMGの音楽CDには“ルートキット”の機能を持つ「XCP」違法コピー防止ソフトが含まれているとして話題となった(関連記事)。同ソフトの機能を悪用すれば,ウイルスなどが姿を隠すことができるためだ。実際,そのようなウイルスが出現した。

 その後同社はアンインストール・ツールを公開したものの,そのツールにも脆弱性があるとして公開を中止(関連記事)。12月4日に,脆弱性を修正したツールを公開した(関連記事)。

 ところがその後,今度は別のコンテンツ保護ソフトである「MediaMax Version 5」にも脆弱性が見つかった。ソニーBMGとEFFは12月6日に脆弱性を公表。MediaMaxを開発した米SunnComm Technologiesはパッチとアンインストール・ツールをリリースした(関連記事)。この対応について,EFFの弁護士Kurt Opsahl氏は,「セキュリティ問題の指摘に対し,ソニーBMG社が迅速かつ責任を持って対応したことをうれしく思う」と発言。しかし翌日には,パッチの適用を推奨しないといった内容の発言をWebサイトに掲載した。パッチとアンインストール・ツールにセキュリティ上の問題が見つかったためだ。

 問題の発見者であるEd Felten氏およびAlex Halderman氏によると,パッチおよびツールを利用すると悪質なプログラムが勝手に実行されるような“罠”を仕掛けることが可能であるという。

 このためWindows PCユーザーに対して,(1)MediaMax用のパッチを適用しない,(2)アンインストール・ツールを利用しない,(3)MediaMaxを含むCDをPCに挿入しない---ことを推奨している。MediaMaxが含まれる音楽CDのリストは,SunnComm TechnologiesおよびEFFがそれぞれ公開している。なおEFFによれば,ソニーBMG以外の音楽CDにもMediaMaxが含まれている可能性があるという

◎参考資料
Update to Press Release: EFF Does Not Recommend Patch at This Time
MediaMax Bug Found; Patch Issued; Patch Suffers from Same Bug
SunnComm MediaMax Security Vulnerability FAQ
MediaMax Release List
SunnComm MediaMax Affected CDs