Internet Watch logo
記事検索
最新ニュース

SONY BMGが採用したコピー防止ソフト「MediaMax」の修正パッチにも脆弱性


 米SONY BMG Music Entertainmentが一部の音楽CDに採用しているコピー防止ソフト「MediaMax Version 5」のセキュリティ修正プログラム(パッチ)にもまた脆弱性があることが指摘された。

 MediaMaxは、米SunnComm Technologiesが開発したコピー防止ソフト。通常はMediaMaxを採用したCDがPCに挿入された時点で自動的にインストールされるという。SONY BMGによれば、MediaMaxを採用したCDは米国で27タイトル、カナダで23タイトルある。

 MediaMaxについては、インストールされたPCが悪意のある第三者に操作される恐れがあることが指摘されたため、SONY BMGと米Electronic Frontier Foundation(EFF)が連名で6日、脆弱性の存在を発表。SunnCommがセキュリティパッチを用意し、SONY BMGのサイトを通じてダウンロード提供していた。

 ところが今回、その翌日になって、このパッチにも新たな脆弱性があることが報告された。EFFも7日付で、現時点ではパッチの適用を推奨しないとするコメントを発表している。また、EFFが開設しているMediaMaxのFAQページにおいて、脆弱性の発見者らによる報告を紹介。1)MediaMaxのパッチを適用しないこと、2)以前に配布されたMediaMaxのアンインストーラを使わないこと、3)MediaMaxを採用したCDをPCに挿入しないこと──が推奨されるとしている。

 脆弱性の報告者であるEd Felten教授らによれば、彼らがテストを行なった結果、このパッチも安全ではないことがわかったという。攻撃者がMediaMaxファイルに“ブービートラップ”を仕掛けることが可能であり、ユーザーがパッチをインストールして実行した際に悪意あるソフトを自動的に起動できるとしている。これは、アンインストーラについても同様だという。

 さらに、MediaMaxが採用されているCDを単にPCに挿入しただけで、ブービートラップを仕掛ける方法を攻撃者に提供することも指摘している。すなわち、「たとえユーザーが(MediaMaxの)ライセンス許諾を拒否しても、脆弱性にさらされる」。そのトラップは、CDを再挿入した際にも起動するという。

 なお、SONY BMGが開設しているMediaMaxの情報ページでは今のところ、パッチに指摘されている新たな脆弱性についての記述は特に見あたらないようだが、12月8日付のパッチとアンインストーラが公開されている。

 SONY BMGでは、MediaMax以外にも、コピー防止ソフト「XCP」を採用したCDについてセキュリティ上の問題が指摘されていた。その際にもXCPのアンインストーラを提供したが、当初提供したアンインストーラに脆弱性が存在することがわかり、配布し直した経緯がある。


関連情報

URL
  EFFによるFAQ(英文)
  http://www.eff.org/IP/DRM/Sony-BMG/mediamaxfaq.php#2
  SONY BMGによるアドバイザリ(英文)
  http://sonybmg.com/mediamax/advisory.html

関連記事
XCP以外のコピー防止ソフトにも脆弱性、米SONY BMGが認める(2005/12/07)
SONY BMG、「XCP」削除ツールの新版を公開(2005/12/06)


( 永沢 茂 )
2005/12/09 21:30

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Watch Corporation, an Impress Group company. All rights reserved.