マイクロソフトは、ゼロデイ脆弱性の早期公開開示に対して強い警告を発した。事前の調整なしに重大なセキュリティ上の欠陥が露出した最近の事例を複数挙げ、数百万の顧客が即座に危険にさらされていると指摘した。
マイクロソフト セキュリティ レスポンス センター(MSRC)の声明において、同社は6件の脆弱性、RedSun(CVE-2026-41091)、UnDefend(CVE-2026-45498)、BlueHammer(CVE-2026-33825)、YellowKey(CVE-2026-45585)、GreenPlasma、およびMiniPlasmaが、事前の調整なしに公開されたことを確認した。
マイクロソフトのセキュリティチームは、これらの早期開示によって引き起こされた影響の評価、パッチの開発、および積極的な悪用試みのブロックに昼夜を問わず取り組んでいる。
ゼロデイ脆弱性とは、定義上、防御側にとって事前通知がゼロである状態を指す。つまり攻撃者がすでにその欠陥を悪用できる状態になって初めて、ベンダーがその存在を知ることになる。
パッチが存在しない段階で概念実証(PoC)のエクスプロイトコードが公開されると、いかなる脅威アクターも即座に実用的な攻撃手段を手にすることになる。
研究によると、脆弱性が公開されてから完全に除去されるまでには、歴史的に平均10ヶ月を要することが示されており、その間パッチ未適用のシステムは深刻なリスクにさらされ続ける。
このリスクは、開示が標準的な調整プロセスを完全に迂回した場合にさらに増大する。
2026年2月だけでも、マイクロソフトは6件の積極的に悪用されたゼロデイを含む58件の脆弱性にパッチを適用したが、そのうち3件はパッチが提供される前にすでに公開されていた。このパターンは、早期開示が実際の悪用を直接加速させることを裏付けている。
責任ある開示とも呼ばれる協調的脆弱性開示(CVD)は、研究者が影響を受けるベンダーに非公開で通知し、公開前に修正を開発・展開する時間を確保する業界標準のモデルである。
その目的は、脆弱性が兵器化される前に安全に解決することである。マイクロソフトは毎年、CVDプログラムを通じて数百名の研究者と連携し、責任ある形で報告した研究者に報酬と功績を付与している。
2026年4月、同社はゼロデイ クエスト プログラムを通じて230万ドルを授与し、責任ある研究に対する金銭的インセンティブを強化した。研究者は過去の実績に関わらず、マイクロソフトの公開ポータルから調査結果を提出できる。
マイクロソフトのデジタル犯罪対策部門は、調整なき開示を通じて悪用を可能にする個人に対して法的措置を積極的に進めており、世界各国の法執行機関と連携している。
攻撃者はPoCコードが公開されると、ゼロデイを権限昇格ツールやランサムウェアと組み合わせて防御を圧倒することを常套手段としている。
マイクロソフトは次のように述べた。即時の透明性とベンダーによる修正期間のどちらを優先するかをめぐる完全開示の議論は、セキュリティコミュニティ内でいまだ論争の的となっている。
しかしマイクロソフトの立場は明確だ。悪意ある者に先手を与えるような、パッチ未適用のエクスプロイト詳細を公開することに対して、いかなる正当化も存在しないと主張している。
各組織は、公式パッチの提供を待つ間、仮想パッチの適用、最小権限アクセスの徹底、および脅威インテリジェンスフィードの活用を推奨されている。
翻訳元: https://cyberpress.org/microsoft-zero-day-vulnerabilities/