Microsoft Dispute with Security Researcher Escalates as Sides Trade Threats
2026/05/29 SecurityBoulevard — 今週になって、Nightmare-Eclipse というハンドルネームで知られるセキュリティ研究者と、Microsoft との対立が激化している。すでに Microsoft 傘下の GitHub では研究者のアカウントが停止され、数日後には GitLab からも排除されたほか、Microsoft はブログ記事で名指しで非難している。これに対し、Chaotic Eclipse としても知られる Nightmare-Eclipse は自身のブログで不満を表明し、過去において Microsoft に脆弱性を開示した際の対応について言及し、「7月14日には必ず痛い目を見せる」と強い警告を発している。
パッチの作成と配布の促進を前提として、一般公開される前の脆弱性を、Nightmare-Eclipse のような研究者がベンダーへ通知すべきという責任と、企業側が開示者に対してオープンかつ誠実に対応すべきという責任についての議論が、この状況が急速にエスカレートする中で再燃している。
The Futurum Group の Software Lifecycle Engineering 部門の責任者である Mitch Ashley は、「協調的開示は相互契約であり、 Microsoft の主張は研究者側の義務のみを擁護する一方、自社の責任には触れていない。この慣行は、ベンダーが誠実にトリアージと優先順位付けを行い期限を守った上で、報告された欠陥を完全に修正する場合にのみ成立する」と述べている。
さらに Ashley は、「最終的な評価はエンドユーザーに委ねられるものであり、ベンダーの開示姿勢ではなく、修復実績が判断されるべきである。つまり、完全にパッチが適用されている Windows において、2020年の脆弱性の悪用により、いまでも SYSTEM 権限に到達できるのであれば、それは検証の失敗であり、責任論により覆い隠すことはできない」と述べている。
非協調的な情報開示がセキュリティ・リスクを高める
Microsoft はブログ記事の中で、 過去 2 か月間に Nightmare-Eclipse が公開した 6 件の脆弱性について言及している。これらの脆弱性は、サイバーセキュリティ業界で標準的に利用されている Coordinated Vulnerability Disclosure (CVD) プロセスを経ずに公開されたものである。同プロセスは、セキュリティ研究者が発見内容をベンダーと共有し、詳細が公開される前の段階で、ベンダーが調査と対策を実施できるよう設計されている。
Microsoft は、「このパートナーシップにより、 PoC コードが攻撃者の手に渡る前に影響を受けるサービスを更新できる。この重要なパートナーシップを通じて、研究者は責任ある開示に対する報酬を受け取り、その専門知識が公的に認められる」と強調している。
同社は、CVD プロセスを通じて開示されなかった脆弱性として、RedSun/UnDefend/BlueHammer/YellowKey/GreenPlasma/MiniPlasma の 6 件を挙げている。Nightmare-Eclipse は、これまでの数週間にわたり、Microsoft への事前通知なしに情報を公開したという。
Microsoft は、「この行為がユーザーを不要なリスクにさらし、影響分析/顧客保護/セキュリティ更新プログラムの開発のために、セキュリティ・チームは昼夜を問わず対応することになった」と述べている。
法的措置の可能性
Microsoft は、「 PoC コードを含む非協調的な情報開示は、決して正当化されるものではなく、現実世界で深刻な結果をもたらす」と、強硬な姿勢を示している。
さらに、Digital Crimes Unit を通じて、このような行為を行う者やそれを支援する者に対して法的措置を講じる方針を示し、必要に応じて世界各国の法執行機関と連携して対応するとしている。
Huntress の分析によると、3件の脆弱性である BlueHammer/RedSun/UnDefend が、すでに 4月下旬時点で実環境で悪用されたことが確認されている。
Microsoft 側の対応に対する批判
その一方で Nightmare-Eclipse は、開示プロセスにおいて Microsoft から不当な扱いを受けたと主張している。その具体例として、脆弱性報告に対する報奨金の未払い、過去のバグ報告に利用していた Microsoft アカウントの削除などを挙げている。
この数週間におけるブログ投稿からは、 Microsoft に対する研究者の不満が高まっている様子が窺える。実際に同研究者は、「 Microsoft は問題を解決するのではなく悪化させる道を選んだ。あらゆる子供じみた手法を用いた。私の忍耐も限界だ」と述べている。
対立する評価
この論争が浮き彫りにするのは、脆弱性報告者とベンダーとの関係が、しばしば対立的な性質を持つことである。この研究者に対する評価は、サイバーセキュリティ業界を二分している。
Barracuda Networks は Nightmare-Eclipse を、Microsoft に対する個人的な恨みに基づいて行動する悪意の人物と位置付けている。同研究者が、Microsoft のコードベースやアーキテクチャに深い知識を持つことから、元従業員/元契約社員/ Microsoft と何らかの関係を持つ人物である可能性を示唆している。
同社は、「この人物が元従業員なのか元契約社員なのか、あるいは関連する経歴を持つ外部研究者なのかは不明である。Windows コンポーネントのゼロデイ脆弱性を特定/悪用する能力を、Microsoft に対する攻撃手段として利用している。この振る舞いは、内部告発者でも責任ある開示の提唱者でも中立的な研究者でもなく、悪意のアクターの行動である」と強く批判している。
その一方で Reddit では、同研究者の手法には同意しないが、その不満や苛立ちに対して一定の理解を示す声も上がっている。
ある投稿者は、「セキュリティ対策やユーザー対応に関する実績を考えれば、 Microsoft に同情の余地はない。同社は、実質的に Nightmare-Eclipse を挑発した。彼の行動が正しいとも合法だとも言わないが、どのような選択肢が残されていたのだろうか」と述べている。この一連の騒動は、迅速な情報公開と責任ある開示のバランス、そして企業とセキュリティ研究者の信頼関係の重要性を改めて示している。
訳者後書:今回の対立の背景にあるのは、脆弱性の発見から修正にいたるプロセスにおいて、研究者と企業との間の信頼関係の崩壊です。研究者側は、報奨金の未払いやアカウントの削除といった企業側の不誠実に見える対応に不満を募らせていました。その一方で、企業側は、事前の通知や調整をしないまま脆弱性情報が一般公開されてしまったことを問題視しています。本来であれば協力して進めるべき仕組みがうまく機能せず、互いの義務や責任をめぐる主張が平行線をたどってしまったことが大きな要因です。
IoT OT Security News 
You must be logged in to post a comment.