マイクロソフトは新たな声明の中で、パッチが提供される前、かつ事前通知なしに同社製品の脆弱性を公に報告したセキュリティ研究者たちを批判した。
こうした「非協調的な開示は、顧客を不必要なリスクにさらすものだ」と、同テック大手は述べた。
パッチ提供前に開示されたマイクロソフトの6件のゼロデイ脆弱性
この声明は5月27日に公開され、「責任ある開示がなされなかった」6件の脆弱性に言及している。その内容は以下の通りだ:
- 「Red Sun」(CVE-2026-41091):Microsoft Defenderにおける特権昇格の脆弱性(CVSS:7.8)
- 「BlueHammer」(CVE-2026-45498):Microsoft Defenderにおける別の特権昇格の脆弱性(CVSS:7.8)
- 「YellowKey」(CVE-2026-45585):Windows BitLockerにおけるセキュリティ機能バイパスの脆弱性(CVSS:6.8)
- 「Undefend」(CVE-2026-45498):Microsoft Defenderにおけるサービス拒否(DoS)の脆弱性(CVSS:4.0)
- 「GreenPlasma」:Windows BitLockerにおける特権昇格の脆弱性
- 「MiniPlasma」:Windows Cloud Filterドライバーにおける特権昇格の脆弱性
これらの非協調的な開示を受けて、マイクロソフトのセキュリティチームは「昼夜を問わず」脆弱性の調査、緩和策の策定、セキュリティパッチの開発に取り組んでいるという。
一方、こうした無責任な開示により「未パッチの脆弱性に対する概念実証(エクスプロイト)コードが悪意ある行為者の手に渡ることを可能にした」と同社は指摘し、これは「いかなる理由があっても正当化できない」と述べた。
「我々はこのような行為に断固として反対する。顧客やデジタルエコシステムに害を与える可能性のある、適切な協調なしの開示のすべてに対しても同様だ」と同社は述べた。
マイクロソフト、責任ある開示を促す
同社はセキュリティ研究者に対し、業界標準である協調的脆弱性開示(CVD)の手順に従うよう促した。これは、脆弱性の発見者と脆弱な製品の所有者が一定のエンバーゴ期間(通常90日間)を設け、脆弱性が公表される前に後者がパッチを開発できるようにするものだ。
その見返りとして、研究者は通常、脆弱性の発見者としてクレジットされ、その貢献に対して報酬を受け取る。
CVDのプロセスは一般的に、バグバウンティプログラムやクラウドソーシング型のバグ発見プラットフォーム、自発的な脆弱性報告活動を通じて実施されてきた。
「毎年、CVDを通じて数百人のセキュリティ研究者と連携している」とマイクロソフトは述べた。
「このパートナーシップにより、概念実証コードが悪意ある行為者の手に渡る前に、影響を受けるサービスへのアップデートを実施することができる。また、この貴重なパートナーシップを通じて、研究者が責任ある開示に対して適切な報酬を受け取り、その専門知識が公に認められるよう努めている」と同社は付け加えた。
「すべての点で合意できるとは限らないことは承知しているが、我々は透明性の確保に取り組み、対話の機会を継続的に創出していく所存だ。」
AIブームが90日間の開示ルールに圧力をかける
しかし最近、サイバーセキュリティ業界の著名な有識者たちが、従来のCVDモデルの再構築の必要性を訴え始めており、標準的な90日間のエンバーゴは事実上終わりを迎えたと宣言する声もある。
専門家たちは、AnthropicのClaude MythosやOpenAIのGPT5.5-Cyberなどの高度なAIツールによって脆弱性研究が急速に加速している現状に適応するため、これらの開示期間を大幅に短縮しなければならないと主張している。
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-uncoordinated-zeroday/
