ソニーBMG製CD XCP問題

2005年10月に、コピーコントロールCD（CCCD、セキュアCD）の米SunnComm Technologies製セキュリティ技術に脆弱性が発見された。このCCCDをWindowsパソコンに入れて、ソフトウェア『XCP』のインストールに同意すると、rootkitプログラムを勝手にインストールしてしまい、更にXCPのアンインストールが不可能だという指摘がなされ、世界中から非難を浴び、アメリカ合衆国では訴訟へと発展した。このソフトの問題が発覚した後にマイクロソフトは、XCPを悪質なソフトウェアとして認定している。ちなみにソニーBMG側は、このコンピュータプログラムを完全に削除するツールを、マイクロソフトと協力して提供した。

なお、ソニー・ミュージックエンタテインメント（SMEJ）やBMGジャパンから発売される日本盤は、CCCDは採用していない（海外版・輸入盤で後述のリスト内のCDには注意が必要）。だが、ある調査によると^[1]、少なくとも568,200のネットワークにこのソニーのマルウェアに感染したコンピュータがあり、日本が21万7000台以上とアメリカの13万台以上を圧倒しているため、一部日本人ユーザーの間でそれ以外のCCCDにも同様の問題がないかと心配する声が盛り上がった^[要出典]。

また、この事件を期にハッカー達が米SonyBMG製を含む各種製品をリバースエンジニアリングした結果、同様の米SunnComm Technologies製コピープロテクト「MediaMax」が見つかった。このMediaMaxは、Microsoft Windowsのみならず、Mac OS Xにも感染する能力を持ち、XCPよりも遙かに深刻な問題を含むという結果が報告された。

Amazon.co.jpやタワーレコードなどでは「XCP」入りのCD購入者に対し、購入代金の返金を行った。

2005年12月8日には、インストールされたXCPを悪用し『Antinny』を投下するコンピュータウイルスも報告された。

「XCP」について、株式会社ソニー・ミュージックエンタテインメント（SMEJ）が見解を出している。

• Microsoft Windows搭載コンピュータで使うとき、インストールされるプログラムの利用規約に 『rootkitをインストールします』と明示されていない。つまりユーザーの同意を得ていないコンピュータプログラムを、勝手にインストールしている点。
• SunnComm Technologies製のプログラムだけではなく、$sys$ が先頭についているファイルやプロセスが隠蔽される。これにより、視覚的に隠蔽されるだけでなく、アンチウイルスソフトウェアにも検知出来ない点。
• コンピュータプログラムをコンピュータ設定でアンインストールせず、単に手動で削除しようとすると、光学ドライブが二度と認識されなくなる点。
• 隠蔽行為を解除するためにリリースした、最初期のSunnComm Technologies製プログラム（ActiveX版）に、どのウェブサイトからも任意のソースコードを実行できるという「重大なセキュリティーホール」が含まれていた点。
• 上記プログラムを入手するには、ソニーBMGに個人情報を提供する必要があった点。
• AppleのiTunesに採用されているデジタル著作権管理「FairPlay」を回避するため、ツールのソースコードを流用したという疑惑^[2]。
• 著作権という知的財産権の保護の名の下に、許諾したユーザーの財産であるパソコンの内容を改竄し、ユーザーの所有財産権を侵害している点。