マイクロソフト、GitHubアカウント停止後にWindowsゼロデイ公開を批判

マイクロソフトが、未修正のゼロデイ脆弱性を無断で一般公開したセキュリティ研究者に強く反発し、GitHubアカウントを停止したことで、当の研究者がさらなる暴露を予告し、対立が深まっています。

全文翻訳

マイクロソフトは、協調的脆弱性開示（CVD）プロセスを強く支持する立場を示し、セキュリティ研究コミュニティに対し、発見内容を共有し、脆弱性が一般公開される前に影響を受けるベンダーがそれを明確に理解して対処できる機会を与えてほしいと求めました。

今回の事態は、「Chaotic Eclipse」（別名 Nightmare-Eclipse）という名の研究者が、過去1か月にわたり、マイクロソフトの脆弱性対応プロセスの不備を理由に、DefenderやBitLockerを含むさまざまなWindowsコンポーネントに影響する複数のゼロデイ脆弱性の詳細を一般公開したことから始まりました。

マイクロソフトは「ここ数週間で複数のゼロデイ脆弱性が一般公開された」としたうえで、「これらの脆弱性の詳細は公開前にマイクロソフトと共有されておらず、その結果、当社の顧客は不要なリスクにさらされた」と述べました。さらに「無断公開によって生じたリスクに対応するため、当社のセキュリティチームは影響範囲の把握、顧客の保護、セキュリティ更新プログラムの開発に向けて24時間体制で対応している」と付け加えました。

公開された脆弱性は、BlueHammer（CVE-2026-33825）、RedSun（CVE-2026-41091）、Undefend（CVE-2026-45498）、YellowKey（CVE-2026-45585）、GreenPlasma、MiniPlasmaの計6件です。このうちBlueHammer、RedSun、Undefendの3件は、{p:50} すでに実環境で悪意ある攻撃に積極的に悪用されています。

マイクロソフトは、このような調整されていない脆弱性公開に「断固として」反対するとし、未修正脆弱性の概念実証（PoC）コードが悪意ある行為者の手に渡れば、「現実世界で深刻な結果」を招きかねないと警告しました。また「セキュリティコミュニティが皆を守るために協力できるよう、多様な視点を歓迎する。すべての件で常に一致できるとは限らないが、透明性を保ち、対話の機会を作り続けることを約束する」と述べ、「こうした対話は、研究者向け感謝イベント、セキュリティカンファレンス、そして脆弱性を理解し解決するために日々共に行っている業務の中で行われている」と強調しました。

こうした無断公開の余波として、GitHubは先週、この研究者のアカウントを停止したとみられています。その後、6件の脆弱性に関するエクスプロイトコードがGitLabに再アップロードされましたが、新たに作成されたGitLabアカウントも現在は停止されています。

この研究者は週末に投稿した文章で、「整理すると、私が積極的に連絡を求めたときには拒絶され、侮辱され、人前であからさまに恥をかかされた」と主張しました。さらに「バグ報告に使っていたマイクロソフトアカウントを完全に削除したうえで、CVE-2026-45585のセキュリティアドバイザリを通じて公の場で私の名誉を傷つけた。私は1円も受け取らず、愚かなほど喜んで働いてきたのに、今度は私のGitHubアカウントにまでフラグを立て、世間の前から跡形もなく消し去る特権まで楽しむのか。あなたたちはこの対立を積極的に激化させていることを皆に証明している。だが、私はもう哀願するのはやめた」と怒りをあらわにしました。

この研究者はまた、2026年7月14日に何かを公開する予定であり、「その日、マイクロソフトの骨を粉々に砕いてやる」と予告しました。

筆者のひとこと

マイクロソフトは、もはや友好的な企業ではないように思えます