その問い合わせフォームがユーザを更なるセキュリティリスクに晒してることに注目。

そのフォームで送信したメールアドレスに指示のメールが届く。その指示にしたがいなさいということになっている。
（メールではまず冒頭に「SP2」を http://updates.xcp-aurora.com から入手してインストールしろとか書いてある。）
この場合の問題点は、ユーザから見て「本物の指示メール」と、「Sonyからのメールであるかのように偽装した悪意を持ったメール」との区別がつかないことだ。
それに、xcp-aurora.comって言われても普通の人は知らないだろうから、知らないドメインから何かダウンロードしてインストールすることを要求されていることになる。悪意を持ったメール届いて、それがダウンロード元としてxpc-aurora.comを指定しててもxcpaurora.comでもWeWillStealYourMoney.comでも疑うきっかけは与えられないわけ。

悪意を持ったメールはスパムとして無差別にバラまいてもいい。あるいはSONYBMGの問い合わせフォームは暗号化されていないので、そこらへんを突いて効果的に対象メールアドレスを収集できる可能性もあるかな。

SONYは自社ドメイン内にSP2プログラムを置いておくべきだし、メール経由で指示を流すのではなくWebに情報を置いておくべきだろう。