Sony BMGコピー防止機能付き音楽CDが招いた大問題
楽曲データとIPアドレスが利用者の
合意無しにSony BMGのサーバーに送信
Russinovich氏は、同日のブログでインストールされたXCPの専用プレーヤーが、現在再生している楽曲のデータとIPアドレスをSony BMGのサーバーに送信していることが明らかにしたのだ。この指摘を受けたSony BMGは、「楽曲の歌詞や、ジャケット画像、広告などを適切に表示するためにその情報を利用しているだけだ」などと弁解したが、実態としてデータがどのように使われているかは全くのブラックボックスのままで明らかにしなかった。
仮にSony BMGのいう通りだとしても、こうした「情報」がSony BMGのサーバーに送信されることは、CCCD挿入時に現れるエンドユーザーライセンス合意書には明記されていなかった。個人のプライバシー保護という観点から問題があることは明白であるし、もし悪意をもってSony BMGがこうしたデータを利用していたのなら、最悪の場合、パソコンを使って音楽を聴いている人がレコード会社から常に「何を聴いているのか」ということを監視されるということにもなりかねない。実際にはそうしたことをしていないにしても、そのようなことが「可能になる」プログラムをユーザーに隠れてインストールさせていたということが重要な問題である。
重大なセキュリティホールの問題に加え、個人情報漏えいが懸念される中、F-Secure社以外の各セキュリティーベンダーも、XCP問題への対処を開始した。11月8日には大手セキュリティベンダーのSymantec社がXCPを「セキュリティリスク」として公表。10日にはMcAfee社がXCPへの対処方法を自社サイトに掲載した。
また、11月9日には米国のElectronic Frontier Foundation(EFF:電子フロンティア財団。1990年に設立されたIT化が進んだ社会において市民の自由を守るためのNPO)がいち早く市場に出回っている「XCP入り」のCCCDの19タイトルを発表。同時に「Sony BMGの行為はユーザーの財産権を軽視し、セキュリティ上の脅威にさらすものだ」と強く批判した。
専用プレーヤーのMP3再生コンポーネントに
オープンソースソフトの無断流用が発覚
シリコンバレーを中心にSony BMGへの批判は日増しに強くなっていったが、当のSony BMGのセキュリティリスク意識は非常に低いものだった。象徴的なのは、この問題の発覚後、National Public Radio(NPR)の取材に応じたSony BMGのグローバルデジタルビジネス担当社長であるThomas Hesse氏の発言だ。Hesse氏は「ほとんどの人はrootkitとは何かを知らないのだから、気に掛けたりしない」と語り、XCPがあくまで音楽CDを不正なコピーから守るために開発されたものだということを強調した。
しかし、現実面で様々な問題を抱えており、リリースしたアップデートプログラムも正常に動作しない状況の中、Hesse氏がこうした発言をしたことで、Sony BMGに対する米メディアやシリコンバレーからの風当たりはいっそう強いものとなる。このあたりの対処は、企業のリスク管理として非常に甘かったと言わざるを得ないだろう。
そして11月10日前後、Sony BMGにとって都合の悪いことが立て続けに発覚する。1つは、オープンソースソフトウエアである「LAME」のソースコードの無断流用問題だ。XCPの専用プレーヤーのMP3再生コンポーネントに、オープンソースのMP3エンコーダーのコンポーネントを無断で流用している部分が発見されたのだ。LAME自体は「LGPL」というオープンソースソフトウエアのライセンス体系に則っており、専用プレーヤー(.exeファイル)内にLAMEのソースを含む場合、全体のソースの公開義務およびLGPLの継承義務が発生する。コンテンツ(楽曲)の著作権を保護する名目で開発されたXCPが、オープンソースソフトウエアのライセンス体系を“無視”する形で流用したわけだ。この点で企業倫理を責められても仕方ないだろう。
この連載のバックナンバー
- 緊急提言 「新型インフルエンザ」感染地域が急速に拡大中 あなたと家族を守る「3つのポイント」+「1」 (2009/04/30)
- 3月リンク集:オフィスセキュリティ (2009/04/01)
- 2月リンク集:身近にある危機 (2009/03/01)
- 1月リンク集:米国と日本 (2009/01/30)
- 12月リンク集:歳末の防犯・防災 (2008/12/25)
