ゼロデイのWindowsエクスプロイトを公開したセキュリティ研究者をGitHubが停止
(tomshardware.com)- Nightmare-Eclipse のGitHubアカウントが停止され、本人は作業拠点をGitLabへ移し、Microsoftによる報復措置だと主張している
- 対立は4月初めの BlueHammer ゼロデイ公開で本格化し、EclipseはMicrosoftが報告と報奨金の要求を無視したと述べている
- Microsoftは停止理由や経緯を明らかにしておらず、争点が 非標準的な公開 なのか、報告・報奨手続きの失敗なのかは不明だ
- EclipseはBlueHammer、RedSun、UnDefendなどWindowsのゼロデイ6件を公開しており、その一部は 実環境で活発に悪用 されている
- GitHubでの停止では、すでに公開されたコードや悪用を止めるのは難しく、AIで加速した脆弱性発見の時代における 公開・パッチ手順 の限界が浮き彫りになっている
GitHubアカウント停止とGitLabへの移行
- Microsoftが、セキュリティ研究者 Nightmare-Eclipse(Chaotic Eclipse)のGitHubアカウントを、いまだ公開されていない理由で停止した
- Eclipseは作業拠点を GitLab に移したとし、バグ報告に使っていたMicrosoftアカウントもすでに削除されたと述べている
- ブログ記事で、今回の措置は 報復的 であり、Microsoftは対話を拒み、報奨金も支払わなかったと主張している
- Microsoftの MSRC報奨金プログラム では、条件に応じてエンドポイントのゼロデイに最大 3万〜10万ドル、Hyper-V脆弱性に最大 25万ドル が支払われる
- Eclipseはすでに6件のゼロデイエクスプロイトを公開しており、7月14日 にMicrosoftに関する追加公開がある可能性を示唆している
MicrosoftとEclipseの対立
- 対立は4月初め、Eclipseが事前警告なしに BlueHammer ゼロデイを公開したことで本格化した
- Eclipseの ブログ はMicrosoftとMSRCを強く批判しており、Microsoftがゼロデイ報告を無視または拒否し、要求した報奨金を支払わず金銭的損害を与えたと主張している
- EclipseはMicrosoftから「人生を台無しにしてやる」と言われ、実際にそうなったと主張しており、一種の デッドマンスイッチ があるとも述べている
- Microsoftが詳細な経緯を公表していないため、標準的な公開手順に従わなかった研究者側の問題なのか、それともセキュリティ報告を困難にした企業側の問題なのか判断しにくい
MSRC手続き論争と公開ポリシーへの圧力
- TharrosのWilliam Dormannは、BlueHammer関連の記事 で、MSRCは過去には協力しやすかったが、コスト削減で熟練者を解雇し、手順書どおりに動く人だけを残したと批判している
- Dormannは、MSRCが現在はエクスプロイト動画の提出を求めているように見え、報告者が動画を提出しなかったためにMicrosoftがケースを閉じた可能性もあるとみている
- Microsoftが沈黙を続けていることで、責任ある脆弱性公開 手続きと報奨金プログラムの実際の運用が今回の対立の核心なのかは依然として明確になっていない
- AIベースのセキュリティ研究によって、標準的な 90日公開・パッチ期間 は 事実上古いモデルになったとの評価 が出ている
- エクスプロイトまでの時間と未使用エクスプロイトが いずれも0に近づいている 文脈のなかで、Microsoftや他のソフトウェア企業によるポリシー調整の必要性が高まっている
公開されたWindowsゼロデイ
- Eclipseは複数のWindowsゼロデイエクスプロイトを公開している
- BlueHammer は、Defender経由で SYSTEM権限 を取得できる脆弱性だ
- RedSun もSYSTEMユーザーへのアクセスを可能にする
- UnDefend は Defenderをオフライン 状態にできる
- GreenPlasma はCTFMonサービスを通じてSYSTEMアクセスを取得する
- MiniPlasma はWindows Cloud Filterドライバーの欠陥により、同様の権限昇格を可能にする
- YellowKey はBitLockerの脆弱性で、攻撃者がほとんど手間なく暗号化ドライブを開けるようにし、BitLockerの中核的な目的を損なう
実際の悪用とセキュリティ上の波紋
- BlueHammer、RedSun、UnDefend は実環境で活発に悪用されていることが確認されている
- 残りの脆弱性についても、完全または部分的な概念実証コードが公開されており、関心を持つ攻撃者が使いやすい状態になっている
- GitHubアカウントの停止は、公開済みコードの削除や悪用の阻止には十分ではなく、研究者とプラットフォーム所有企業のあいだの対立をさらに深めている
- ゼロデイ公開、報奨金をめぐる紛争、アカウント停止、AIによって加速した脆弱性発見が重なり、従来のセキュリティ報告・検証・パッチ適用プロセスの限界がより鮮明になっている
1件のコメント
Hacker Newsのコメント
Webアプリでセキュリティバグを見つけても、もう報告しないことにしている。最初に報告したときは警察に逮捕されかけ、2回目は返答もないまま雇用主に直接連絡され、報告が不快だったこと、修正後に記事を書きたかったことを伝えられた
それ以来、こんな面倒を引き受ける価値はないと判断し、放っておけば自分も穏やかな一日を過ごせる
完全匿名でも可能なので、過敏な企業に人生を壊されるのではと心配する必要はない。TraficomのFCSCは、ホワイトハットのセキュリティ研究者が公益に継続して貢献できるようにしてくれる良い資産だ
見つけられる連絡先3か所に報告したが、返答があったのは1か所だけで、そのシステムが何をするものか、危険は何かと聞かれた。私はまったく知らないし、正体不明のシステムにログインして確認するつもりなど絶対にないので、社内ITに回して変更・交換すべきものがないか見てもらってほしいと答えた
結局、誠実さに感謝しつつ写真を削除したので解決したという返事を受けた。理解できる人が実際に確認したことを願うが、これ以上関わらないことにした
しばらく職業としてホワイトハットをやっていたが、正直で役に立とうとする試みが今では危険だという点には同意する。脆弱性を売ることにしても、まあそうなるだろうと思う
ここで何が起きているのかは分からないが、大規模なバグバウンティプログラムの第一原則は、ベンダー側の関係者全員に支払いを行う強いインセンティブがあるということだ
多くの場合、支払額に紐づいた社内指標を持つ人がいて、この種のプログラムでは支払いは祝うべきことだ。Microsoftがバウンティ請求者をいじめて金を節約しようとしていると見るのは、ほぼ確実に無理がある
小さな会社には当てはまらないかもしれず、それが小さな会社がバグバウンティを運営すべきでない理由でもあるが、FAANG/MAG7規模の会社には明らかに当てはまる。だからといって、こうしたプログラムが常に支払いに寛大で、人を怒らせる判断をしないという意味ではない。ただ、恨みから支払いを保留するという主張とは一致しない
ただし、Microsoft側の人と話したのは少し前なので、その点は少し留保する
TrueCryptがある日突然終了し、すべてのダウンロードを削除して、全員にMicrosoft BitLockerへ移行するよう勧めた後だったので、まったく予想外というわけでもなかった
[1] - https://www.tomshardware.com/tech-industry/cyber-security/mi...
そして官僚制を直すのではなく、アカウントを禁止する方向にさらに進んだのは本当に良くない姿勢だ。なぜMicrosoftが善意で解釈されるのか、よく分からない
ユーザーキーなしでもボリュームを復号できる可能性がかなり高く見え、これは極めて憂慮すべきだ。なかったことにしようとしているようだが、すでに公開されてしまっている
Microsoftだから、この種のことに最も先進的な会社とは限らないので、それに気づいたのかは分からない
結局、立証されたリスクの方が大きかったからだ。逆に、ある大規模プログラムでは、ある研究者がずっと前に平凡なXSSエクスプロイトでより高い支払い等級に相当する効果を出せると説得し、その後はXSSを見つけるたびに同じ効果を出す概念実証を添えて、不適切に高い等級で支払いを受け続けていた。他の研究者のXSSは表に書かれたXSS等級で支払われていた
実際、一度だけ例外を思い出す。誰かが会社のサーバーにWebシェルを設置するという聖杯のようなことをやってのけ、今の基準なら1万ドル以上の価値があった。だが、そのWebシェルを削除せず、報告書だけ提出してそのままにした。プログラム責任者は激怒し、その理由でバウンティを支払いたくないと具体的に言っていた。最終的に支払われたかどうかは覚えていない
Microsoftはこの件を後悔することになりそうだ
誰かがゼロデイを見つけても報酬はなく、アカウントが禁止されるだけだ。そうなれば、そのゼロデイは別のところに売られる
そしてMicrosoftと無関係なGitLabでも禁止された
ここ数か月、いくつもの関連事案で奇妙なデジタル上の対応を多く経験してきて、自分が何を間違えているのか正確につかめず、もどかしく感じていた。そんな中で記事のこの一文を読んだ
「だがコスト削減のために Microsoft は熟練者を解雇し、フローチャート追従者だけを残した。」
フローチャート追従者という表現は覚えておく価値がある。考えるために給料をもらっているのではなく、あらかじめ用意された手順に従うために給料をもらっている人たちだ。近い将来、デジタルであれ実際の人間であれ、こうしたフローチャート追従者をもっと多く相手にすることになりそうだ
flowchartに従うことが事実上の法律であり、その手順は血と責任で書かれたものだ一方で IT、運用、開発者たちは、自分たちを職人的で自由に考える知識人だと見ている。手順に従うことよりも、近道、ハック、型破りな発想のほうが実力と結び付けられると考えている
Microsoft で何が起きているのか、公式な立場表明はあるのか? なぜ Microsoft と GitLab の両方がそのユーザーを禁止したのだろうか
両プラットフォームとも、最初から明確に表示していれば、エクスプロイトやセキュリティ研究のホスティングは許可しているものだと思っていたが、おそらく何らかの規則に違反したのだろう
使者を撃てば解決するだろう
Microsoft は GitHub からゼロデイを削除しなければならないという 編集責任を自ら作り出したのか?
自分のソフトウェアのゼロデイが GitHub に上がったら、Microsoft はそのアカウントも消すのだろうか?
この状況は、Microsoft が GitHub を所有していることによる構造的な利益相反をよく示している
GitHub には、実際に武器化されたエクスプロイトのホスティングに関する明確な利用規約があるが、Windows を標的にした研究者を禁止する姿は、正当な理由があったとしても、どうしても報復に見えてしまう
非常に重要な情報:
https://www.theregister.com/security/2026/05/28/microsoft-0-...
リンク先の Microsoft ブログ記事ではこう述べている
「これらの脆弱性の詳細は公開前に Microsoft と共有されておらず、その公開は顧客を不必要なリスクにさらした。」
だとすると Microsoft は嘘をついているのだろうか? そうでないなら、なぜ Nightmare-Eclipse は報告しなかったのだろうか? かなり奇妙な状況だ
責任ある公開だったかどうかにかかわらず、顧客を危険にさらしたのは研究者ではなく Microsoft 自身だ