動画配信・DRM・VSEO・動画マーケティングで「脆弱性」と一致するもの
http://internet.watch.impress.co.jp/docs/news/20091222_338836.html
米Adobe Systemsは、ストリーミングメディア配信用のサーバソフト「Adobe Flash Media Server」(FMS)に深刻な脆弱性が複数見つかったとして、12月18日付で問題解決のための更新版をリリースした。メモ。Adobeのアドバイザリーによると、脆弱性が存在するのはFMS 3.5.2までのバージョン。リソースを使い果たしてしまう脆弱性と、ディレクトリトラバーサルの脆弱性があり、悪用された場合、サービス妨害(DoS) を誘発されたり、任意のDLLをロードさせられる恐れがある。
深刻度は4段階で最も高い「Critical」。Adobeはバージョン3.5.3でこの問題を解決し、ユーザーにアップデートを呼び掛けている。
http://www.itmedia.co.jp/news/articles/0809/29/news063.html
インターネット経由で映画やテレビ番組を配信するのに使われている米Adobe Systemsのソフトにセキュリティホールがあり、ユーザーが米Amazon.comのビデオストリーミングサービスからビデオを自由に録画、複製できるようになっている。
この問題は、オンラインビデオコンテンツを、Napster時代に音楽業界を苦しめていた違法コピーの横行にさらすものだ。また膨大な数の視聴者から利益を得ようとする小売業者、映画会社、テレビネットワークの取り組みを台無しにしている。
「Adobeの設計の根本的な欠陥だ。間抜けな設計になっている」とセキュリティ研究者で英British Telecom(BT)のCTO(最高技術責任者)でもあるブルース・シュナイアー氏は語る。
このセキュリティホールは、Webに接続したコンピュータのほとんどにインストールされているAdobe製プレーヤーに接続するFlashビデオサーバに存在する。
このソフトはオンラインコンテンツを暗号化せず、再生開始や停止などのビデオプレーヤーへの命令のみを暗号化する。Adobeはダウンロード速度を上げるために、サーバソフトとプレーヤー間の接続を保護する厳しいセキュリティ対策を外した。
「Adobeはプレーヤーからサーバソフトに至るまで、すべての製品のセキュリティに力を入れている。ユーザーを潜在的な脆弱性から守るためにかなりの取り組みを行っている」と同社は声明文で述べている。
Adobeは今月、オンラインコンテンツを守る最善の方法を記したセキュリティ情報を公開し、同社のソフトのセキュリティ機能と、ビデオプレーヤーの有効性を確認する機能を併用するよう顧客に呼び掛けた。
Amazonの広報担当者は、4万作の映画とテレビ番組を提供する同社のVideo On Demandサービスのコンテンツは、ビデオストリームキャプチャソフトで無断複製することはできないと語った。
しかしReutersのテストでは、少なくとも1種のオンラインビデオ録画ソフト(Applian TechnologiesのReplay Media Catcher)で、Amazonや、Adobeの暗号化技術とビデオプレーヤー認証を使っているほかのサイトの映画を録画できた。
「Adobe(のストリーム)は実際は暗号化されていない」とApplianのビル・デタリングCEOは指摘する。「同社のソフト設計の失敗の1つは、ストリームをキャプチャできる点だ。同社は近いうちにもっと強固な対策を施すだろう」
タダで視聴できる仕組み
Replay Media Catcherの無料デモ版を使えば、録画されているあらゆるビデオの75%、YouTubeビデオの100%を誰でも視聴できる。39ドルの製品版を使えば、すべてのビデオを視聴可能だ。
あるWebサイト(www.tvadfree.com)では、このソフトを使う手順を1つ1つ説明している。
Adobeソフトを使ったAmazonのVideo On Demandでは、映画とテレビ番組の最初の2分間を無料で視聴できる。映画を24時間レンタルするには3.99ドル、ダウンロード購入するには最高で14.99ドル掛かる。
Amazonはこの無料プレビューの間に、映画全体のストリーミングを始める――たとえ最初の2分が経過した時点で、Webブラウザ上でビデオが停止されても。ユーザーが料金を払った後でビデオの残りの部分を見られるようにするためだ。
「以前からあるトレードオフだ。一方は利便性、もう一方はセキュリティ」と米Gartnerのアナリスト、レイ・バルデス氏は言う。
だが、ユーザーがお金を払っていなくても、映画のストリーミングはブラウザではなくストリームキャプチャソフトに送信される。
Video On Demandは、映画やテレビ番組のパッケージ販売の減少と、ネット上で視聴、保存できるデジタルコンテンツへの需要増に対するAmazonの解だ。
Amazonとは異なり、Hulu.com、NBC.com、CBS.comはビデオを無料で提供しているが、番組の合間にCMが入る。だがストリームキャプチャソフトはCMと番組を2つのフォルダに分けるため、広告抜きの番組を保存できる。
米News Corp.傘下のFox Networkと米General Electric傘下のNBC Universalの合弁であるHulu.comは、動画共有サイトYouTubeへの大手テレビネットワークの対抗策だ。YouTubeには多くのユーザーが、テレビ番組などメディア企業のコンテンツをアップロードするようになっている。
テレビ局は、拡大するネット視聴者から新たな広告収入を得ようと、先を争って自社サイトにビデオを掲載したが、Webで番組を流すときの最適なCMの見せ方に苦労している。
オンラインビデオブームを巻き起こし、2006年11月に米Googleに16億5000万ドルで買収されたYouTubeも、ユーザーが急速に増え続けているにもかかわらず、その人気を収益に変えるのに苦戦している。
ビジネスモデルを破壊するか
このセキュリティホールの解決策の1つとして、デジタル権利管理(DRM)システムを使うことが考えられる。Widevine Technologiesというシアトルの企業には、Flashを使ったオンラインビデオを暗号化するDRMシステムがある。
「ここで根本的な問題は、Adobe側に技術がなく、このビジネスモデルを維持できないということだ」とWidevineのブライアン・ベイカーCEOは指摘する。
同氏は、コンテンツ保護の欠如は、Webビデオに今日用いられているすべてのビジネスモデルを脅かすと主張する。
iTunes Storeで映画とテレビ番組を販売する米Appleは、独自のDRM技術「FairPlay」を使っているが、これはiTunes Storeで購入したビデオにのみ有効だ。
米Forrester Researchのアナリスト、ジェームズ・マクベイ氏は、ビデオストリーミングキャプチャ技術が、テレビ局がオンラインビデオに利用している広告収入ビジネスモデルを完全に頓挫させることはないだろうと語る。
「ほとんどのユーザーには複雑すぎる」とマクベイ氏は語り、BitTorrentのようなファイル交換サービスは以前からあるが、少数の人しか使っていないと指摘した。
「人々は見つけやすく、使いやすいものを求めている」
日本のコンテンツでこんな状況だと、いまだにWinnyを使っていて情報が漏洩する事件が発生しているくらいなのでがんがんコピーされてアップロードされそうだが、英語が出来ないことが幸いしているのかもしれない。
いずれにしてもDRMの技術の未熟さのために、動画のデジタルコンテンツの流通が進まない状況。Windows Media は割りといい線いっているのだろうが、プラットフォーム依存なのが問題か。日本ではYahoo! やGyao、Biglobe などで広く使われているのだが。
もうしばらくは混沌とした状況が続くか。
Nikkei IT Pro の記事
http://itpro.nikkeibp.co.jp/article/NEWS/20080512/301282/
セキュリティ企業の米トレンドマイクロや、セキュリティ組織の米サンズ・インスティチュートなどは2008年5月10日以降、Webサイトを改ざんする大規模な攻撃が再び確認されたとして注意を呼びかけている。改ざんされたWebページにアクセスすると、ウイルスをダウンロードさせる「偽の動画サイト」に誘導される。トレンドマイクロによれば、50万サイト以上が改ざんされているという。
今回確認された攻撃は、「phpBB」と呼ばれる掲示板システム(プログラム)を利用しているWebサイトを標的にしているという。phpBB は、PHP言語で記述されたオープンソースの掲示板システム。多くのWebサイトで利用されている。既知の脆弱(ぜいじゃく)性がある古いphpBBを使っている場合や、phpBBの設定に脆弱性がある場合(設定が不適切な場合)には、これらの脆弱性を突かれて不正侵入され、Webページを改ざんされてしまう。
改ざんの結果、Webページ中にJavaScriptの悪質なコードが挿入される。このコードにより、改ざんされたWebページにユーザーがアクセスすると、攻撃者が用意したWebサイトに誘導され、そのサイトのWebページがWebブラウザーに表示される。
表示されたWebページには、動画プレーヤーが埋め込まれているように見えるので、「YouTube」のような動画再生サイト(動画配信サイト)に思える(図)。そして、動画を再生するには、新しいコーデックをインストールする必要があるといった警告メッセージが表示され、ある実行形式(拡張子が exe)ファイルをダウンロードするよう促される。
このファイルの実体は、「Zlob(ゼットロブ)」と呼ばれるウイルス(悪質なプログラム)。インストールしても動画を再生できるようにはならない。その代わり、パソコンのDNSの設定やWebブラウザーなどの設定を勝手に変更されてしまう。
例えば、パソコンのDNS設定を、攻撃者のDNSサーバーを参照するように変更する。これにより、ユーザーは気付かないうちに悪質なWebサイト(フィッシング詐欺サイトなど)に誘導されて、個人情報などを盗まれる恐れがある。
5月10日現在、トレンドマイクロでは50万サイトが改ざんされていると報告。サンズ・インスティチュートでは、改ざんによって埋め込まれる文字列で検索したところ、40万サイトがヒットしたとしている。
トレンドマイクロでは、今回の一連の改ざん攻撃について現在調査中。詳細が明らかになり次第、同社サイトで随時報告するとしている。
ブラウザ自体がかなり堅牢になってきているので、セキュリティのアタックは動画プレイヤーなどによるものが大幅に増えてくる可能性が高い。要注意。
http://www.itmedia.co.jp/enterprise/articles/0802/07/news021.html
最近は Windows やメールソフトの脆弱性は頻度が下がったが、動画・音声関係のソフトウェアの脆弱性が目立つ。
http://www.itmedia.co.jp/enterprise/articles/0801/21/news005.html
インターネット電話ソフトのSkypeに、任意のコード実行につながるクロスゾーンスクリプティングの脆弱性が見つかったとして、同社が1月18日、サイトで情報を公開した。メモ。Skypeの告知によると、Skypeには動画共有サイトDailymotionの動画をムードやチャットに利用できる機能があるが、ユーザーが Skypeビデオギャラリー経由で細工を施したDailymotionビデオにアクセスすると、任意のコードを実行される恐れがある。
影響を受けるのはWindows版のSkype 3.5/3.6。危険度は共通指標CVSSのベーススコアで最も高い10.0となっている。セキュリティ研究者がコンセプト実証コードも公開した。
これを受けてSkypeは、Dailymotionギャラリーからビデオを追加できる機能を一時的に無効にする措置を取った。脆弱性を突いた実際の攻撃が起きる前に対処されたため、ユーザーが影響を受けた可能性は低いとしている。
Dailymotionでは現在、サイトの脆弱性を修正中だという。
http://www.computerworld.jp/topics/smg/88649.html
QuickTime に限らず、動画再生用のプレイヤーには脆弱性は多いはず。転送するデータ量も多く、攻撃されれば一発なだけに気をつけたいところ。
