Sony BMGコピー防止機能付き音楽CDが招いた大問題
rootkitのインストールによって
セキュリティホールが出来る
具体的な挙動はこうだ。
まず、買ってきたSony BMGのCCCDをパソコンのドライブに挿入すると、まず専用のプレーヤーソフトのインストール画面が現れる。インストール画面の最初には、エンドユーザー向けのライセンス合意書が表示され、これに同意すると、XCP技術に基づいた専用プレーヤーソフトがインストールされる。インストールが完了すると、rootkitがインストールされ、OS(Windows)が書き換えられてしまうのだ。
前述したように、rootkitとは外部からコンピュータに再度侵入しやすくするためのバックドアを作るものだ。つまり、XCPの専用プレーヤーソフト(これがすなわちrootkitである)がパソコンにインストールされることで、パソコンに外部から侵入できるセキュリティホールが空けられてしまうという結果をもたらしたのである。
この指摘を受け、Sony BMGは11月2日、問題のコンポーネントを削除するアップデートプログラムをリリースした。しかし、この2日後、またもRussinovich氏のブログで、「このアップデートプログラムをインストールすると、最悪の場合、パソコンがクラッシュする可能性がある」と指摘された。
XCPのCCCDをパソコンのCD-ROMドライブなどに挿入すると、長文のライセンス合意書(EULA)が記載されたインストール画面が立ち上がる。ここで「Agree」(合意)にチェックを入れ、インストールを行ってしまうと、rootkitがパソコンにインストールされOS(Windows)が書き換えられてしまう。
問題はこれだけにとどまらなかった。
この連載のバックナンバー
- 緊急提言 「新型インフルエンザ」感染地域が急速に拡大中 あなたと家族を守る「3つのポイント」+「1」 (2009/04/30)
- 3月リンク集:オフィスセキュリティ (2009/04/01)
- 2月リンク集:身近にある危機 (2009/03/01)
- 1月リンク集:米国と日本 (2009/01/30)
- 12月リンク集:歳末の防犯・防災 (2008/12/25)
