マイクロソフト対Nightmare Eclipse(別名Chaotic Eclipse)——Windowsへの深い理解と、さらに深いマイクロソフトへの恨みを持つ不満を抱えたバグハンターの長きにわたる確執が、新たな段階に突入した。これまでに6つのWindows ゼロデイを公開してきたこの研究者は、7月14日に「骨を砕くような」公開を行うと宣言したのだ。
マイクロソフト側は、ついに声明を発表し、この研究者と彼らが武器化したWindowsの欠陥に対し、現在公開されているバグ——RedSun、UnDefend、BlueHammer、YellowKey、GreenPlasma、MiniPlasma——に関する(非)協調的脆弱性開示についてのブログ記事を公開した。Redmondによれば、これらはいずれも公開前に公式チャンネルを通じて報告されなかったという。
攻撃者は6件のうち3件——BlueHammer、RedSun、UnDefend——を、Nightmareがそれぞれの動作する概念実証エクスプロイトコードを現在は利用停止となったGitHub(マイクロソフト所有)およびGitLabアカウントで公開した直後から悪用し始めた。
YellowKey、GreenPlasma、MiniPlasmaにはいまだ修正プログラムが存在しない。マイクロソフトは動作するPOCを根拠に、YellowKey(CVE-2026-45585)について「悪用の可能性がより高い」と判断している。
「当社は、顧客やデジタルエコシステムに害を与えかねない、適切な調整を経ない開示を含むこれらの行為に対し、断固として反対する」とマイクロソフトは水曜日のブログ記事に記し、さらにNightmareに対して法的措置を示唆したとも読める記述を加えた。
「未パッチの脆弱性の概念実証コードを悪意ある者の手に渡す非協調的な開示は、いかなる理由があっても正当化できず、現実世界に深刻な影響をもたらす。社内のセキュリティチームは、マイクロソフトおよびその顧客を攻撃するためにこのような弱点を探す脅威アクターを日夜追跡している。デジタル犯罪ユニットは、こうしたアクターおよびその犯罪行為を助長する者に対する訴訟を継続し、必要に応じて世界中の法執行機関と連携していく。」
マイクロソフトはThe Registerの質問——法務チームがNightmareを提訴する計画があるか、このゼロデイ研究者は現従業員または元従業員か、マイクロソフトがNightmareのMSRCアカウントを削除し、このバグハンターがWindowsの巨人に脆弱性を開示できない状態にしたか——には回答しなかった。
Nightmareは最新の反マイクロソフト声明の中で、マイクロソフトがまさにそれを行ったと主張している。
「私が積極的にコミュニケーションを求めた際、あなた方は拒絶し、私を侮辱し、人々の前で恥をかかせることを確実にした」と彼らは土曜日にブログに記した。「CVE-2026-45585のアドバイザリで公の場で私を中傷しておきながら、あなた方は実際に私がバグを報告するために使っていたMicrosoftアカウントを削除し、私はそれによって一銭も受け取れなかった。それでも私は馬鹿みたいに喜んでやっていたのだ。」
この日付を覚えておけ、7月14日。その日、必ずお前たちの骨を砕いてやる
Nightmareはまた、「マイクロソフトはいまだ私の手に鎖をかけている」とも述べ、「文書」の公開を6月中はもちろん今はまだできないとしたうえで、「この日付を覚えておけ、7月14日。その日、必ずお前たちの骨を砕いてやる」と警告した。
7月14日に何が起きるかはともかく、Nightmareはすでに混乱を引き起こしており、システムエンジニアのMuhammad Qasim ShahzadがLinkedInで述べたように、企業レベルでの実害も発生している。
「一人の人間が6週間で、多くのAPTグループが1年かけて引き起こすよりも大きな企業レベルの被害をもたらした」とShahzadは書いた。「開示から武器化までの時間差は今や日単位ではなく時間単位で計られる。パッチ適用の猶予期間は急速に縮まっている。」
Zero Day Initiativeのバグハンター最高責任者であるDustin Childsは、以前マイクロソフトのセキュリティ部門で約7年間勤務し、双方の立場で協調的脆弱性開示(CVD)プロセスに数十年の経験を持つが、The Registerに対し、マイクロソフトはもっとうまく対応できたはずだと語った。そして両者の間で何があってこのような事態に至ったのかを疑問視した。
「CVDは双方向のプロセスだ」と彼は言った。「ベンダー側にも責任がある。だから、このような文書のやり取りを一切示すことなく、この人物がCVDに違反したと公に声明を出すのは大胆すぎる。」
マイクロソフトはまた、「これらのバグによる実際のリスクが何で、どのように身を守れるか」について顧客へのコミュニケーションを改善すべきだと、Childsは付け加えた。「その明確な方向性が欠けているように見える。」
マイクロソフトの「ゴミ箱火災」
Luta SecurityのCEOであるKatie Moussourisは、幹部陣が研究者にバグの報酬を支払うことを決してしないと誓っていたにもかかわらず、マイクロソフトのバグ報奨金プログラムを先駆的に立ち上げた人物だが、Nightmareに対するRedmondの対応は「混乱したメッセージを送っている」と述べた。
「自分は一銭も受け取れず、公式に認められることもなかったと訴える研究者に答える形で、自社のプログラムが『研究者に確実に報酬を支払い、公式に認める』と主張するのは矛盾している」とMoussourisはThe Registerに語った。「言葉の選択も事態を沈静化させるものではない。マイクロソフトは時代遅れの『責任ある開示』という用語を使用しているが、私はかつてマイクロソフト社内でこの用語を廃止させた。それが主観的で批判的な言葉だったからだ。」
この表現は、Moussourisが付け加えたように、双方がエンドユーザーを最もよく保護する方法について意見が食い違う場合に「調整の妨げになった」のだという。
「脆弱性開示を論じる記事でデジタル犯罪ユニットに言及することで、記事は漠然とした脅迫のように見える。それは意図的なものに思えるが、同時に記事の締めくくりでは開示の経緯を問わず報告を歓迎するとも言っている」と彼女は述べた。「当事者以外には、この研究者とマイクロソフトの間で何が起きたかを確かめることはできない。事実がどうであれ、マイクロソフトがなぜ事態を沈静化しようとしないのかは理解しがたい。他の研究者への萎縮効果を避けるためだけでも、そうすべきではないか。」
セキュリティ探偵のKevin Beaumont は、進行中のマイクロソフト対Nightmare Eclipseの騒動に関するブログで、これを「マイクロソフト自身が招いたゴミ箱火災」と表現した。
Beaumont もマイクロソフトに勤務していた経験があり、同社がかつてSandboxEscaperというハッカーがマイクロソフト製品のゼロデイPOCエクスプロイトを公開した後にその人物を採用したことを指摘した——Redmondのブログが今や「犯罪的」と表現している行為だ。
「マイクロソフトの戦略が、しばしば恣意的な『責任ある開示』の枠組みに従わないことを犯罪化しようとするものであるなら、法廷でそれを証明する幸運を祈る——マイクロソフト内の過去の判断の数々と、その過程で明らかになるであろう事実のおかげで、道化師だらけの車になりかねないのだから」とBeaumont は語った。
明確にしておくが、Beaumont もThe Regが取材した研究者たちも、Nightmareのゼロデイ公開行為を支持しているわけではない。Childsは「7月14日」の投稿を「憂慮すべきもの」と呼び、Moussourisは日付と「過激な言葉遣い……は技術的リスクを理解しようとする組織の助けにならない」と述べた。
「ダビデとゴリアテの構図」
Moussourisはさらに、この最新の声明を以前のブログ記事と合わせて読むと、「すべての正当なチャンネルが閉ざされたと信じる人物の姿が浮かび上がる。GitHubアカウントを削除され、報酬を差し止められ、功績を否定され、そして調整する手段をマイクロソフトに断ち切られた後でCVD違反と公に非難された——それは追い詰められたと感じた人物の声だ。研究者の不満は深刻かつ具体的なものだ」と付け加えた。
結局のところ、「バグはマイクロソフトのものだ」とMoussourisは言う。「彼らがコードを書き、顧客へのリスクを負っている。かつてベンダーと協力していた研究者が極端な行動に出るのは、他に選択肢がないと感じた場合に限られることが多い。研究者が持つ力はベンダーとまったく釣り合っていない。これはダビデとゴリアテの構図であり、特に調整交渉が決裂したときにはユーザーが最大の被害を被るため、見たくない展開だ。」
これは協調的開示の失敗の非常に極端な——おそらく最も極端な——例だが、孤立した問題ではない。研究者たちはCVDについて、特にRedmondのバグ開示の慣行について、長年にわたって不満を訴えてきた。
「改善した企業もあるが、マイクロソフトはそうではない」とChildsは言う。「むしろ協力しづらい相手と見られており、バグの深刻度がCriticalでなくModerateの場合は特にそうだ。マイクロソフトは協力しづらすぎるため、調査対象から完全に外したという研究者の話を聞いたことがある。」
さらに、研究者とバグ報奨金プログラムの間のこうした対立は、AIを活用したバグレポートが当たり前になり、脆弱性が急増するにつれてさらに増加するだろう。
「我々業界は一度立ち止まり、そこには実在する人々が関わっていることを思い出し、不適切な対応が実際の顧客リスクにつながりうることを認識する必要がある」とChildsは語った。「開示がうまくいかないとき、現実世界への影響があまりにも軽視されすぎている。」®
