Sony BMGのrootkitアンインストーラーに、より大きなセキュリティーホール 48
ストーリー by Acanthopanax
どこまで続くぬかるみぞ 部門より
どこまで続くぬかるみぞ 部門より
shesee曰く、"プリンストン大学のEd Felten教授が自身のブログFreedom to Tinkerで明らかにしたところによると、Sony BMGが提供していたコピーコントロールディスク問題のアンインストーラーは、リモートからPCを操作可能な危険なコードを含むとのことです。なお、Sony BMGは問題のコピーコントロールディスクのリコールを決め、数日中に対応を公表することを明らかにしました(CNET Japanの記事)。
Sony BMGが販売するFirst 4 InternetのXCP技術を使用したコピーコントロールディスクは、rootkit応用技術を使用しており、それ自体セキュリティーリスクになります。さらにSony BMGが問題の対応としてWebからアナウンスしていたWebベースの対応プログラムはAcitiveXで作成されており、所定の動作後もPC上に残されたままです。このActiveXコントロールはリモートから所定のコードをダウンロードして動作しますが、コードのダウンロード先の検証を行っておらず、任意のURLからコードをダウンロードして動作可能です。" (つづく…)
また、alp曰く、"といっても、米国ユーザの場合 Sony BMG の了解済みのアンインストーラを使用しない場合は、コピー防止手段の回避により DMCA で訴追される可能性があり、絵に描いたようなジレンマと言えましょう。"
関連ストーリー
マルウェア削除したらDMCA法で罪に問われるって・・・ (スコア:5, すばらしい洞察)
DMCA法作った奴ってアホか?
マイクロソフトはこのrootkitを削除する手段を提供する [cnet.com]らしいけど、じゃ、マイクロソフトも法人として訴追されるって言うのか。いや、マイクロソフトだけじゃなくて、こいつを削除するという対応をしたアンチウィルスソリューションのベンダーはみんな訴追されるのか?というか、「著作権保護のためのソフトです」って言えばそれだけで何でもインストールし放題、インストールされた方はそれが分かっていても削除したら法律違反、ってどう考えてもおかしいだろ。
このマルウェアが原因でハッチ [senate.gov]が別のマルウェアに感染してたら笑える。逝って良し。っていうか、むしろ逝け。
屍体メモ [windy.cx]
Re:マルウェア削除したらDMCA法で罪に問われるって・・・ (スコア:3, 参考になる)
> In addition, to address security concerns, we provided to major
> software and anti-virus companies a software update, which also may be
> downloaded at http://cp.sonybmg.com/xcp/english/updates.html.
だそうですから、DMCA回避のための許可をアンチウイルスソフトベンダー
に出しているように思います。というか、各社にパッチを供給してる
って書いてあるように読めるということは、基本的に全部同じもの?
どちらにしてもファイルの隠蔽機能周りだけを除去するだけで、
DRMとしての機能は温存されるという話も出たりしています。
そうか! (スコア:1)
# かわいそうなアメリカ人専用
yp
Re:マルウェア削除したらDMCA法で罪に問われるって・・・ (スコア:0)
マイクロソフトやアンチウィルスベンダーを訴えたり,アンインストーラを使用したユーザを訴えたりしたら,史上最大級の「祭り」が発生すると思われます。自らそんな大胆な燃料投下をするほどSonyBMGもバカではないのでは?
アンインストールは正当な自己防衛だと思うんですけどね。
Re:マルウェア削除したらDMCA法で罪に問われるって・・・ (スコア:0)
いや、ま、そんな訴訟を起こすとは思えないつーのは同意ですが。
Re:マルウェア削除したらDMCA法で罪に問われるって・・・ (スコア:2, おもしろおかしい)
こんな状況ならいっそのこと潰れるか火達磨になってもらった方が公共の利益になるし
ヘンテコな法律への問題提起にもなる。
#M$弁護団がSonyBMGに負けるとは思えないし
#状況はいつも最悪、でもそれが当たり前
Re:マルウェア削除したらDMCA法で罪に問われるって・・・ (スコア:0)
参考 (スコア:3, 参考になる)
ユーザーの利便性を考えたつもりなんだろうけど、
ActiveXで、こういう修正が出来てしまう危険性に疑問を抱かなかったのだろうか。>> BMG
Re:参考 (スコア:2, 参考になる)
CNetの記事には、
・最初に公開していたActiveX版に問題がある
・そのあとに出たダウンロード版は安全なようだ
と書かれています。
現在、BMGのダウンロードページは、15日付で
・あたらしいツールを用意しているので数日待って欲しい
となっています。
現在公開しているのが問題になっているのだと思いましたが、そうではないんですね。
新しい削除ツールでは、最初の問題点も含めて修正して欲しいものです。
Re:参考 (スコア:1)
なんだか紛らわしいですが今回問題となったのは、例の「サービスパック」と称していたものではなくて、アンインストールの申し込みで提供されていたもの、ではないでしょうか。16日付のIT Proの記事では次のようにあります。
IT Proの記事。「ActiveXコントロールのSafe for scriptingマーク問題」についての解説あり
現在サービスパックの2aを .exe で配布
同上
現在停止中
Re:参考 (スコア:1)
ごめんなさい、もうすこし引用しないとわかりにくいですね。というわけで同記事から引用のやり直し。一方、配布中のSP2aの日付は11月8日となっています。
Re:参考 (スコア:1)
(1)ルートキットの機能を持つモジュールを削除できるようにするためのパッチ(セキュリティ・アップデート)
(2)XCPをアンインストールためのツール
の2種類があって、問題のあったのは (2)のアンインストールツールのほうということですね。
CNetの記事にある"ダウンロードして使う別のプログラム"というのは、上のもののことでしょうか。
確かにダウンロードして使うものにはなっているようです。
Re:参考 (スコア:2, 参考になる)
私も混乱したんですが、「ActiveX版に問題」「新しいプログラムは安全なようだ」は意味合いが違うように思います。まとめると次のようになるかと。
アンインストール手順については、Mark Russinovich氏が11月9日付けブログエントリで書いています。意訳しつつ引用すると...
ここまでしてさらにセキュリティホール。うーん...
Re:参考 (スコア:1)
やはり、原典を探さないとダメですね。
16日付けで、Victory! になっています。(^_^;
国内にも感染経路がある予感… (スコア:3, 参考になる)
これって、アメリカからの輸入盤だけでは説明がつかないのでは?
日本でリリースされたCDにも同様のものが入ってるとか
はっ!まさかVAI○にプリインストール?
-------- tear straight across --------
空目 (スコア:1)
> 「ハッキング対策マニュアル」の著者でもあるミカンスキー氏
と空目した僕はきっとビタミンCが足りません。
#そういえばそろそろそういう季節。
Youthの半分はバファリンでできています。
Re:国内にも感染経路がある予感… (スコア:0)
つまり、300枚に1枚という計算になるわけです。
輸入CDに占めるSonyBMGのシェアがどれぐらいかは知りませんが、
たとえば、シェア1割として、そのうちの30人に一人がパソコンで
聞いたとすれば成り立つ数字なので…。
Re:国内にも感染経路がある予感… (スコア:2, 参考になる)
コデラ ノブログ: ホントかよXCP日本で21万台 [ITmedia +D Blog] [itmedia.co.jp]
名物に旨いものなし!
形を変えたマーケティング調査? (スコア:3, すばらしい洞察)
ストーリーで紹介されているブログや各種リンクを巡ると SONY BMG が提供している「アンインストール方法」というのが興味深いですね。Update: Sony Uninstaller Hole Stays Open [freedom-to-tinker.com] で簡単にまとめられていますので、ちょっと訳してみましょう。
ユーザに二回もリクエストフォームを入力させるあたり、徹底した情報収集を行っているようですね。ここに集う人なら捨てアカなどを使うでしょうが、普通の CD 購入層がそんなことを考えるとは思えません。電子メールアカウントや購入した CD タイトルなど、単なる CD 販売では得られない情報が SONY に流れ込むことになりますね。これは非常に「おいしい」情報なのではないでしょうか?
rootkit をつかったコピー防止ツールでも CD の再生ごとに Sony 側に情報を流していたようだ [sysinternals.com] との指摘があることを併せると、単なるコピーコントロール以上にマーケティングに役立てるための情報も収集しようとしていたのではないかと想像を逞しくしてしまいます。
はてな支店 [hatena.ne.jp]
ここまでくると (スコア:1)
いい加減、ちゃんとしたアンインストーラを提供してもらいたいものです。
Re:ここまでくると (スコア:2, すばらしい洞察)
これだけのことをした企業のによるアンインストーラは信用できないような。
Microsoftも「駆除」決定" [itmedia.co.jp]だそうなので、一安心?
Microsoftにお任せを (スコア:1, 興味深い)
というわけで来月の月刊Windows Updataで対応されるぽいですよ。
現場の暴走という可能性は? (スコア:1, 興味深い)
#何処に付けようか悩んだあげくに新規に
問題のシステムを作ったプロジェクトのリーダーが手前勝手な正義感を基に会社の方針を拡大解釈して暴走した、とは考えられないのでしょうか?
内部の連携ミスがあって会社としてはそこまでやるようなものだとは聞いていなかったとしたら公式コメントである「何の情報も収集していない」というのも頷けますし、盗用に関しても開発者の暴走であったとか、本当にないのかと。
これだけの事実が揃うとソニーに対する悪いイメージはさすがに払拭できなさそうですが、かといってこの件を以て「ソニーは客をなめている会社だ」と結論づけるのは早計に感じます。
現場が作ったソフトウェアの挙動に関して上層部が完全に把握したうえで会社としてゴーサインを出したという確証はありますか?
#煽りでも何でもなく、本当にそれが知りたいのです。
Youthの半分はバファリンでできています。
Re:現場の暴走という可能性は? (スコア:2, すばらしい洞察)
それが事実だとして、何の言い訳になるのでしょうか。
Re:現場の暴走という可能性は? (スコア:0, 余計なもの)
ソニーという会社に対する印象を決定するのはこの辺りが明らかになってからでも遅くはないのではないかと思いますがいかがでしょう?
そのあたり、皆さんがどう思っているのかも含めて詳しく知りたいというのが先ほどの投稿の動機だったり。
Youthの半分はバファリンでできています。
Re:現場の暴走という可能性は? (スコア:1)
http://www.itmedia.co.jp/news/articles/0511/09/news061.html [itmedia.co.jp]
って言うような会社であることはもうわかっていますが。
Re:現場の暴走という可能性は? (スコア:0)
このコメントから読み取れるのは彼とその周辺に重大な認識不足がある/あったということのみです。
失礼ですが、貴方がこの引用で何を伝えたいのかが分かりません。
Re:現場の暴走という可能性は? (スコア:1)
Re:現場の暴走という可能性は? (スコア:0)
Re:現場の暴走という可能性は? (スコア:0)
ソニーという会社のやることは信用できない。
ソニーという会社が社員の暴走を許した:
ソニーの名を冠していても、中の人のやることは信用できないし
会社としてのチェック機能も働いていないので、信用できない。
微妙に違うのかもしらんが、いずれにしてもブランドとして終わってる。
Re:現場の暴走という可能性は? (スコア:2, すばらしい洞察)
こういったマルウェア的なものを仕掛けることに対する倫理的な抵抗感がない、あっても誰にも止めることができない、「社風」に問題があるのではないでしょうか。
Re:現場の暴走という可能性は? (スコア:1)
企業主体の日本じゃあり得るけど個人主体のアメリカでは無さげな気がしますが、事実に関係なく現場の暴走に見せかけた制裁人事を行うことで責任を取った(取らせた)ことにすることはできそうですね。
その後に全く変わってなければ社風と言うことで・・・
#なんか憶測の域を出ない・・
Youthの半分はバファリンでできています。
不可解 (スコア:0)
こっそりrootkitなんかインストールしたら,バレたときに大問題になることは事前に予想できるはずで,こんなもの,まともなレコード会社なら怖くて採用できないでしょう。我が身を滅ぼすような技術を自ら採用する動機はSonyBMGないはずなので,「会社としてゴーサイン」は出してないと思います。根拠はありませんがそう考えないと不自然です。
「手前勝手な正義感を基に会社の方針を拡大解釈」っていうのは,もっともらしいですが,拡大解釈するにも程があります。これを作った人は,「バレるとは思わなかった」とか
Re:不可解 (スコア:2, すばらしい洞察)
これは他に十分な手立てがないために、「苦し紛れにこういった方法を採用してしまった」ということではないかと思います。
こんな無茶で本質的でないことを利用してコピーコントロールを行うのには「コピーコントロールのための十分な技術が確立していない」ということが背景にあるのではないでしょうか。
「デジタルデータのコピーを制限する方法が現状で存在しない」にも関わらずコピーを制限したいという要望が存在するため、「ごまかしで、コピーしにくくする」という手立てがとられることが多いようです。
そこで「強いごまかし」を求めるあまりに、このような事態を招いてしまっのではないでしょうか。
Re:不可解 (スコア:1)
ところでゴーサインが出てないのであればある意味SonyBMGも被害者であったという見方も可能では?とか思ってしまう僕は人が良すぎですか?
ここまで巧妙に隠れるソフトウェアを開発者以外の人間に看破しろと言っても不可能のように思うのですが。
知ってて許可したと分かれば、そもそもまともなレコード会社ではなかったという判断が堂々とできますので、引き続き情報を求めたいと思います。
#ところで先日はお世話になりました、というかご迷惑をおかけしました。
Youthの半分はバファリンでできています。
Re:不可解 (スコア:1)
人が良すぎるってよりSony信者の妄想は凄いなあと感心.
Re:不可解 (スコア:0)
現実的にはどうかと思います。でも,思考実験(妄想)としてはおもしろいです。
SonyBMGも被害者であると仮定した場合,では加害者は誰なのか?
以下妄想。
XCPの開発者はSonyBMGを潰したかったのか?
もし,XCPの開発者がSonyBMGに悪意を持っていたとすれば,筋は通るが現実的にはナンセンス。
もし,XCPの開発者がSonyBMGに悪意を持っていなかったとすれば,XCP技術そのものがナンセンス。
だから不可解なんです。
Re:不可解 (スコア:1)
「良かれと思って」のお節介の加害者や「俺がやらねば誰がやる!」の著作権保護思想に駆られた確信犯の可能性はないのでしょうか?
#後者の場合ソース盗用という自己矛盾があるのでナンセンスですがね。
例えば、自社のCDのコピー回数を抑える未踏の実装方法思い付いてしまったがために技術者として実装せずにはいられなくなり、その時点で倫理感情やあとへの影響が考えられなくなった。
そこで・・・
・上の許可取るの面倒だし、どうせ理解されないから書いちゃえ!と書いてしまった。出来上がりを見せたら褒められた。
・「rootkitという言葉や概念を説明せずに」コピー回数を強制的に3回にできて、アンインストールができないシステム作りましたけど?」とだけ報告した。許可は下りた。
・むしゃくしゃしてつくった。コピーがせいげんできればなんでもよかった。いまははんせいしている。
のようになってしまったとか。
#/.の人ならこの気持ちを理解できる人がウヨウヨいそうですよね。
Youthの半分はバファリンでできています。
Re:不可解 (スコア:0)
>思い付いてしまったがために技術者として実装せずには
>いられなくなり、その時点で倫理感情やあとへの影響が
>考えられなくなった。
そういう思考過程は社会人として失格ですよ。趣味や
「なんとなく」で仕事してるわけじゃないんですから。
未踏の実装方法を提案するんだったらレビューを通さないと
認められないし、リリースのためにはテストを繰り返ししないと
いけないし。
何人もの目を通って世に出て来たSonyBMGのCDにrootkitが
入ってるというこの結果は、チェック機構が死んでるとしか
思えないですね。
#というか、「例えば」ででもこの思考ルーチンが出てくる
#Youthさんの方に問題があると思いますが。
#あなたのいる環境は、趣味と同レベルで仕事してお金貰って
#終了って環境なんですか?
Re:不可解 (スコア:1)
ありがとうございます。
会社としての方針や周囲との連携が個人の技術的な興味よりも優先されるのは社会人として当たり前ですね。
それ以前に企業はユーザー、広くは社会の利益について考えなければいけないのですね。
その前提を採用すると今回の件でソニーBMGに会社としてのモラルかシステムか、或いはその両方に欠陥があったということに疑いの余地はないように思います。
その上でちょっと強調しておきたいのですが、一部の技術者や会社が起こした不祥事を以て関連会社の関係者・商品全てが悪だと思うことに根拠なんてありません。
自分も今後はBMGの製品だけ要注意ということで、以前と変わらずソニーブランドに対して中立でしょうね。
僕はこの考えを誰かに強制しようとは思いませんので、誰も僕に偏見を強制しないでください。
#自分はソフトウェア開発で飯を食ってはいません。
#いわゆる日曜プログラマなのです。
Youthの半分はバファリンでできています。
Re:不可解 (スコア:1)
ソニーのブランド力が低下して得するのは誰だ?
日本では地に墜ちた感があるが、海外ではそうでもないと聞いている。
その海外で仕掛けてもっとも得をするのは誰なんだろう?
# ばかな陰謀論なのでIDで
Re:不可解 (スコア:0)
http://www.hh.iij4u.or.jp/~iwakami/fmei.htm [iij4u.or.jp]
Re:不可解 (スコア:1)
予想できていなかっただけだったりして。
現場もバカで、上もバカで、しかもその双方が消費者はバカだと思っている会社ならありうる話です。
SonyBMGがそういう会社かどうかは知りませんがね。
Re:不可解 (スコア:1, すばらしい洞察)
いわゆるIT業界の常識として、「セキュリティの問題点についての情報を隠し続けること自体ではセキュリティは守れない。かえってユーザが危険に晒される。」という発想は根付いていると思います。
でも、この考え方が浸透するのにどれだけの時間がかかったことか。
決定権を持つであろう音楽業界の人が、セキュリティについての認識甘かったとしても不思議はありません。
また、技術そのものを提供しているのはSonyの中の人ではなくて、別会社のようなので、当然ライバル社との競争を意識せざるを得ないわけです。大手レーベルに自社技術を採用してもらうために、ヤバイ線を踏み越えてしまったのかもしれない。
Re:不可解 (スコア:0)
> rootkitを開発した
間違いです。
rootkitが使うような技術手法を使ったものをインストールした
rootkitが使うような技術手法を使ったものを開発させた
Re:不可解 (スコア:0)