TokyoBlackHatNews

therecord.media 4分で読了

マイクロソフト、ゼロデイ公開は「いかなる場合も正当化できない」と表明——研究者はさらなる公開を予告

マイクロソフトは、数週間にわたって続く非協調的なWindowsゼロデイ公開キャンペーンに対し、初めての公式見解を発表した。同社はこれらの開示を「いかなる場合も正当化できない」と非難し、サイバー犯罪を可能にする者に対して法的措置を取る可能性を示唆した。

「Nightmare Eclipse」というハンドルネームを持つ匿名の研究者は、4月から脆弱性の公開を開始した。それぞれの脆弱性は、動作する概念実証コードとともにマイクロソフト傘下のコードリポジトリGitHubに公開され、攻撃者とセキュリティ専門家の双方がただちに利用できる状態となった。

この研究者のGitHubアカウントはその後削除され、4月から投稿を続けていたBloggerページも、本稿執筆時点でアクセス不能となっているようだ。

マイクロソフト自身のパッチ勧告によれば、6件の脆弱性のうち最初の3件——いずれも4月に公開された BlueHammer UnDefendRedSun——は実際の侵入に悪用されている。3件すべてが、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)の既知の悪用済み脆弱性カタログに掲載されている。

今月初めに公開された3件の新しい脆弱性—— YellowKey、GreenPlasma、MiniPlasma——については、本稿執筆時点でパッチも悪用の確認もない。

研究者は自身の素性を公表していない。Bloggerページへの暗号署名付き投稿の中で、マイクロソフトへの不満を述べており、同社がMicrosoft Security Response CenterアカウントをGitHubアカウントを削除し、バウンティ報酬の支払いを拒否し、少なくとも1件の勧告から自身のクレジットを削除したと主張している。

「これを売れば莫大な金になったかもしれないが、マイクロソフトへの断固たる意思の前に金額など関係ない」と研究者は 述べた

研究者はさらに、マイクロソフトのパッチチューズデーが予定されている7月14日に追加公開を行うと予告し、「その日、お前たちの骨を粉々にしてやる」と警告した。

水曜日に公開した ブログ投稿の中でマイクロソフトは次のように述べた。「我々はこのような行為に断固として反対する。パッチが提供されていない脆弱性の概念実証コードを悪意ある者の手に渡すような、顧客やデジタルエコシステムに害を及ぼす可能性のある非協調的な開示は、いかなる場合も正当化できず、現実世界に影響をもたらす。」

同社は法的措置を直接示唆するには至らなかったが、次のように述べた。「社内のセキュリティチームは、マイクロソフトと顧客を攻撃するためにこのような脆弱性を探す脅威アクターを絶え間なく追跡している。Digital Crimes Unitは、こうしたアクターおよびその犯罪行為を支援する者に対して引き続き訴訟を提起し、必要に応じて世界各地の法執行機関と連携していく。」

Luta Securityの創設者であり、マイクロソフト初のバグバウンティプログラムを設計したKatie Moussourisは、木曜日にBlueskyへの投稿で、マイクロソフトが「責任ある開示」という表現を使うこと自体が含みを持つと指摘した。「ベンダーがその言葉を使うのは、相手を無責任と呼びたいときだけだ」と彼女は 書いた

業界の不満

研究者の主張の詳細は検証されていないが、他のセキュリティ専門家たちも過去にマイクロソフトの脆弱性対応に対して同様の不満を示してきた。Trend MicroのZero Day Initiativeは2024年、積極的に悪用されていた脆弱性を報告したにもかかわらず、パッチ適用時に何ら通知を受けなかったとして、マイクロソフトを 公然と批判した

Tenableの当時のCEOは2023年にLinkedInへの 投稿を公開し、マイクロソフトが開示後数ヶ月間パッチが当たらなかったAzureの脆弱性について、顧客を「意図的に闇の中に置き去りにした」と非難した。Check Pointの研究者Haifei Liも、自身が報告したバグをマイクロソフトが通知なしにパッチした上、協調開示は「一方的であってはならない」と 別途述べた

Moussourisは、研究者がゼロデイ脆弱性を公開することは理想的ではないが、研究者が取りうる最悪の行為ではないと警告した。「非公開の方がはるかに悪い。何が研究者を非公開へと駆り立てるのか?ベンダーからの脅しだ」と彼女は書いた。

マイクロソフトのブログ投稿は次のように認めた。「我々は、セキュリティコミュニティが協力してすべての人を守るための取り組みに役立つ多様な視点を歓迎する。すべての点で意見が一致するとは限らないことは認識しているが、透明性へのコミットメントを持ち、対話の機会を引き続き創出していく。こうした対話は、研究者感謝イベント、セキュリティカンファレンス、そして脆弱性の理解と対処のために日々行っている共同作業の中で行われている。 

「我々のチームは、顧客に影響を与える脆弱性を迅速に調査・対処・修正するために全力を尽くしながら、引き続き責任ある研究を支援していく。過去のやり取りや評判にかかわらず、公開の研究者ポータルを通じて、誰からでも脆弱性の報告を常に歓迎してきたし、今後も変わらず歓迎していく。」

翻訳元: https://therecord.media/microsoft-calls-zero-day-releases-never-justifiable-as-researcher-threatens-more

ソース: therecord.media
#CISA #Windows #サイバーセキュリティ #ゼロデイ脆弱性 #バグバウンティ #パッチチューズデー #マイクロソフト #協調的脆弱性開示 #概念実証コード #脆弱性開示

関連記事

ホワイトハウス、縮小版AI大統領令を公表

ロシア、外国諜報機関による高官スマートフォンへのハッキングを主張

ソフトウェアパイプライン侵害を受け、Red Hatが汚染パッケージを削除