IT事件簿 音楽CDに隠された凶悪なルートキット：“迷探偵”ハギ−のテクノロジー裏話（3/3 ページ）

[萩原栄幸，ITmedia]

　この問題が明るみになった当初、同社はルートキットを混入させた音楽CDが20種類だと発表していた。だが実際は52種類にも及び、研究者の追跡調査などから8カ月間で470万枚が製造されていたことも分かった。筆者が2003年に恐れた「世界中のウイルス対策ソフトが検出不可能」ということが現実になった瞬間だった。

　今では「ルートキット発見可」という対策ソフトがあるものの、あくまでソフトメーカー側が確認したものを検出するので、これらと違った振る舞いをするルートキットなら検出されない可能性がある。2005年に発見されたルートキットなら発見できるくらい……と考えた方がいいかもしれない。

　事件が騒ぎになった後、「DNSキャッシュ・スヌーピング」という特別な手法で300万台以上のDNSサーバを調査した結果、少なくとも世界で56万台以上のPCで感染していることが分かった。最大の被害国は日本で、最低でも21万台を超える。その次が米国の14万台だった。だが日本ではネットメディアや一部の新聞などで小さく報道された程度であり、大騒ぎになることはなかった。

　2012年の今、同じことが発生したらどうなるだろうか。少なくとも「寡黙な消費者」になる方は少ないであろう。SONY BMGのルートキット事件は昔の出来事のように感じられるが、たった7年前のことである。

　余談だが、この時の日本側での対応はどうだったのかといえば、日本の法人が回収や交換を表明したのは11月18日だ。米国から3日遅れだった。対象製品のリストを発表していたが、驚くことに40種しかなかった。疑問を感じた筆者は、すぐさま連絡した。「米国本社と同様に52種に訂正すべきではないか」と伝え、すぐに対応するかと思ったところ、「当社は法人格としては米国と違う会社です。日本で直接販売している40種だけを掲載しております」との返事だった。

　だが日本で販売していないといっても、並行輸入などで購入してルートキット感染した恐れがあるユーザーが数多くいたはずである。せめてリストには、「直接販売しているのは40種ですが、次の12種は直接販売をしていません」といったことを付記すべきだっただろう。その時の対応はあまりに酷く、最後に「会社としての正義を貫かれたいようだが、明らかにコンプライアンスには違反するのではないか。音楽を愛する消費者の1人として自問自答していただきたい」と言わずにはいれなかったのである。既に現在は、当時のような“社風”がさすが消えているはずだと思う。

---

　今回取り上げた事件は、非常に危険な不正プログラムの脅威が現実化したという点、それも企業によって引き起こされたことが衝撃的であり、今後こうした事態が起こらないとは限らない。生活を便利にしてくれるITだが、その裏側には時折こうした脅威が潜んでいることを忘れてはならない。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント（システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名）として活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。