11 ポイント 投稿者 recast7838 2026-05-30 | 7件のコメント | WhatsAppで共有

マイクロソフトが、未修正のゼロデイ脆弱性を無断で一般公開したセキュリティ研究者に強く反発し、GitHubアカウントを停止したことで、当の研究者がさらなる暴露を予告し、対立が深まっています。


全文翻訳

マイクロソフトは、協調的脆弱性開示(CVD)プロセスを強く支持する立場を示し、セキュリティ研究コミュニティに対し、発見内容を共有し、脆弱性が一般公開される前に影響を受けるベンダーがそれを明確に理解して対処できる機会を与えてほしいと求めました。

今回の事態は、「Chaotic Eclipse」(別名 Nightmare-Eclipse)という名の研究者が、過去1か月にわたり、マイクロソフトの脆弱性対応プロセスの不備を理由に、DefenderやBitLockerを含むさまざまなWindowsコンポーネントに影響する複数のゼロデイ脆弱性の詳細を一般公開したことから始まりました。

マイクロソフトは「ここ数週間で複数のゼロデイ脆弱性が一般公開された」としたうえで、「これらの脆弱性の詳細は公開前にマイクロソフトと共有されておらず、その結果、当社の顧客は不要なリスクにさらされた」と述べました。さらに「無断公開によって生じたリスクに対応するため、当社のセキュリティチームは影響範囲の把握、顧客の保護、セキュリティ更新プログラムの開発に向けて24時間体制で対応している」と付け加えました。

公開された脆弱性は、BlueHammer(CVE-2026-33825)、RedSun(CVE-2026-41091)、Undefend(CVE-2026-45498)、YellowKey(CVE-2026-45585)、GreenPlasma、MiniPlasmaの計6件です。このうちBlueHammer、RedSun、Undefendの3件は、{p:50} すでに実環境で悪意ある攻撃に積極的に悪用されています。

マイクロソフトは、このような調整されていない脆弱性公開に「断固として」反対するとし、未修正脆弱性の概念実証(PoC)コードが悪意ある行為者の手に渡れば、「現実世界で深刻な結果」を招きかねないと警告しました。また「セキュリティコミュニティが皆を守るために協力できるよう、多様な視点を歓迎する。すべての件で常に一致できるとは限らないが、透明性を保ち、対話の機会を作り続けることを約束する」と述べ、「こうした対話は、研究者向け感謝イベント、セキュリティカンファレンス、そして脆弱性を理解し解決するために日々共に行っている業務の中で行われている」と強調しました。

こうした無断公開の余波として、GitHubは先週、この研究者のアカウントを停止したとみられています。その後、6件の脆弱性に関するエクスプロイトコードがGitLabに再アップロードされましたが、新たに作成されたGitLabアカウントも現在は停止されています。

この研究者は週末に投稿した文章で、「整理すると、私が積極的に連絡を求めたときには拒絶され、侮辱され、人前であからさまに恥をかかされた」と主張しました。さらに「バグ報告に使っていたマイクロソフトアカウントを完全に削除したうえで、CVE-2026-45585のセキュリティアドバイザリを通じて公の場で私の名誉を傷つけた。私は1円も受け取らず、愚かなほど喜んで働いてきたのに、今度は私のGitHubアカウントにまでフラグを立て、世間の前から跡形もなく消し去る特権まで楽しむのか。あなたたちはこの対立を積極的に激化させていることを皆に証明している。だが、私はもう哀願するのはやめた」と怒りをあらわにしました。

この研究者はまた、2026年7月14日に何かを公開する予定であり、「その日、マイクロソフトの骨を粉々に砕いてやる」と予告しました。

筆者のひとこと

マイクロソフトは、もはや友好的な企業ではないように思えます

7件のコメント

 
aobamisaki 2026-05-31

最近のマイクロソフトの動きには批判される点が多いとはいえ、あの研究者という人の振る舞い方もまた、あまりにも過激で無責任なのではないかと思います。

特に情報セキュリティに関しては、ある特定の脆弱性がどれほど緊急かつ重大であったとしても、やはり(扱いを誤ればゼロデイ攻撃に即座に悪用されかねない)センシティブな部分であるだけに、関連して確立された原則と規範を厳格に守らなければならないのに、その原則と規範を深刻に破壊してしまったという点で、擁護や支持を受けるのは難しい部分だと思います。

 
wowfoot 2026-05-31

脆弱性を知らせたのに修正しないなんて…マイクロソフトはすごいですね。脆弱性を悪用して攻撃しようとして保護しているのでは、とさえ思えてきます。Linuxに移行したい気持ちが一気に強くなります。修正する能力がないなら助けを求めるのが正しいでしょう。金を払いたくないなら集中砲火を浴びるべきなのに…弱者のふりをしようとするなんて。

 
arton1234 2026-05-31

私は元アマです。ただ、その時々で自分に必要なものを適当に作って使っています。

  1. そもそもマイクロソフトは、開発者に開発環境(ドキュメントを含む)を非常に手厚く提供してきた一方で、オープンソースに友好的ではありませんでした。

  2. サティア・ナデラがCEOになって以降、オープンソースに友好的な姿勢を見せるようになり、より好感を持つようにもなりました。その一つがWSLですね。

  3. マイクロソフトが現在AI分野では苦戦しているという点には同意します。GitHub Copilotであれ、OSに統合されたCopilotであれ。

  4. どんな理由であれ、ゼロデイ脆弱性に対する備えがない状態で脆弱性を公開するというのは、公開した人が悪意のあるハッカーだと思います。ハッキングというのは、脆弱性を見つけて脆弱性を利用するのが難しいだけで、私が作ったプログラムがすべての権限を持ったままインストール・実行されるなら、誰でも悪意あるプログラムを作れます。

マイクロソフトの対応が良かったか悪かったかを論じる前に、脆弱性に対して備えられていなかったにもかかわらずそれを公開したのは、サイバーテロでしかありません。

 
click 2026-06-01

私にはこの研究者の方の態度が、
自分が見つけたのはどれほど危険な脆弱性なんだから、当然全社の能力を総動員して最優先で対応すべきじゃないのか? プンスカ
という感じに聞こえますね。
通報を受けておきながら説明もなく1年ずつ放置しているという話なら、MS側に問題があるのでしょうが、
対応が自分の気に入る速度じゃないからといって新しい脆弱性をそのまま公開してしまうのは、ホワイトハッカーというよりブラックハッカーに近く見えます。

 
galaxy11111 2026-05-31

その抗議のやり方、ほんとに叩かれやすいですね、あの研究者の方

 
soulee 2026-05-31

私もマイクロソフトの最近の動きについては残念に思います。ですが、研究者の行動にも問題があると思います。

一般的に、セキュリティ脆弱性はベンダーに報告した後、90日が経過してから研究者が公開できるという慣例があります。
開発者の方々はご存じだと思いますが、既存業務に追加されるセキュリティパッチにはどうしても時間がかかります。だからこそ、その期間中にリスクと重要度を評価して優先順位に従って対処できるよう、慣例的に90日という公開猶予期間が設けられているのです。

このように無責任に公開してしまうのは、マイクロソフト以上に、実際のユーザーを無防備な攻撃にさらす行為だと思います。

 
comsect 2026-05-31

私益の追求と公益的な広報は区別されるべきだ。公益的なマーケティング手法を使いながら、それに見合うだけの公益的責任を負わないのであれば、それはユーザーを愚弄することだ。Master Bang-i