「攻撃者が知らない情報を教えるな」という主張と、多くのベンダーによる開示後の対応の遅さが対立している。
マイクロソフトと著名なサイバーセキュリティ研究者が、2026年における責任ある脆弱性開示の在り方をめぐり、極めて公開的かつかなり個人的な応酬を繰り広げている。
Nightmare Eclipseという名義で活動するサイバーセキュリティ研究者は、パッチが提供される前に複数の脆弱性を開示してきた人物だが、マイクロソフト担当者への連絡を試みたが拒絶されたとして、その結果として脆弱性の詳細を公開するに至ったと投稿した。
「私があなた方(マイクロソフト)に積極的にコミュニケーションを求めたとき、あなた方は拒否し、私を侮辱し、人前で恥をかかせた。CVE-2026-45585のアドバイザリで公衆の面前で私を誹謗中傷しているが、あなた方は私がバグ報告に使っていたマイクロソフトアカウントを削除した。私はそれで一円も得ておらず、それでも馬鹿みたいに喜んでやっていた」と研究者は投稿し、マイクロソフトが自身のGitHubアカウントも削除したと付け加えた。「あなた方は自ら積極的にこの対立をエスカレートさせていることを皆に証明している。もう懇願するのはやめた。」
研究者はその後、不穏な脅しとも取れる言葉を残した。「7月14日という日付を覚えておけ。その日、必ずあなた方の骨を砕いてみせる。」
別の投稿では、研究者はさらに直接的にこう述べた。「(マイクロソフトから)個人的に、私の人生を台無しにすると言われ、実際にそうされた」とし、マイクロソフトは「研究コミュニティを支援する以外のことは何でもやる。詳細は明かさないが、彼らは人々を大いに妨害している」と主張した。
マイクロソフトは独自の声明を発表し、研究者が公開した脆弱性の一部は「責任ある開示がなされなかった」ものであり、「これらの開示によって不必要なリスクが生じた」と述べ、「パッチが提供されていない脆弱性の実証コードを悪意ある行為者の手に渡すような、調整なき開示は決して正当化できず、現実世界に影響をもたらす」と付け加えた。
次はマイクロソフトが個人攻撃に転じる番だった。研究者の評判が悪いことを示唆する言葉を暗に含ませ、「当社は常に、過去のやり取りや評判に関わらず、公開された研究者ポータルを通じて誰からでも脆弱性の提出を歓迎してきたし、今後もそうし続ける」と声明で述べた。
しかし、マイクロソフトのシニアセキュリティエグゼクティブの一人はやや前向きなメッセージを投稿し、同社がサイバーセキュリティのバグ報告への対応方法を見直す必要があるかもしれないと示唆した。
「現時点では、修正が必要かどうかを判断するためのバグの基準や判定条件は変更しないが、状況の変化に応じて引き続き評価を続ける。深刻度は引き続き、セキュリティ更新プログラムガイドに含まれるすべてのシグナルに基づき、現実世界への影響と悪用可能性を根拠としたものとなる」と、マイクロソフト セキュリティ レスポンス センター(MSRC)のエンジニアリング担当VP トム・ギャラガーは述べた。
「当社は引き続き、予測可能なリズムと規律あるプロセスを基盤としつつ、目の前の状況に応じて適応していく」と彼は述べた。「逆にお願いしたいのは、数年前のパッチ適用の状況に対してうまく機能していた慣行が、今後の状況にも適合しているかどうかを改めて考えてほしいということだ。基本原則は変わっていない。それらを適用しなければならないペースが変化しているのだ。」
CSOonlineはマイクロソフトとNightmare Eclipse双方に問い合わせたが、掲載時点でいずれからも説明や追加コメントは得られなかった。
双方の不満
サイバーセキュリティの開示ポリシーをめぐる議論の背景にある問題の一つは、多くの研究者が、マイクロソフトをはじめとする大手ベンダーから、自分たちの開示が無視されるか、パッチの提供が不当に遅らされると感じていることだ。
研究者たちの不満をさらに高めているのは、報告されたセキュリティ問題の進捗状況についてベンダーが十分に連絡をしないことが多いという事実だ。
しかしベンダー側にも言い分がある。有限なリソースの中では、報告される多数の脆弱性すべてに迅速に対処することはできず、何をパッチするかを優先順位付けしなければならないのだ。
関連する問題として、マイクロソフトを含む大手ベンダーは脆弱性が公開されると迅速にパッチの優先度を上げるという見方がある。その一例がMicrosoft Authenticatorの欠陥で、マイクロソフトは8年間その存在を知りながら、公表されて初めて修正した。
双方とも正しいかもしれない
コンサルタントやサイバーセキュリティの幹部たちは、今回の件では双方が妥当な主張をしていると述べた。
「調整なきゼロデイの公開は顧客に対して現実かつ即座のリスクをもたらすというマイクロソフトの主張は正しく、ベンダーは時として背中を押されなければ動かないという研究者の主張も正しい」と、FormerGovのエグゼクティブディレクターであるサイバーセキュリティコンサルタントのブライアン・レバインは述べた。「両方の真実が同時に存在することはあり得る。」
またLexisNexis Risk Solutions GroupのCISOであるフラビオ・ビラヌストレは、「セキュリティ研究者の叫びからは、何か意趣返しのようなものが行われているように感じる。研究者が(マイクロソフトが)非倫理的または違法に行動したと信じ、その証拠があるなら、ブログ記事を書くのではなく、適切な当局に申し立てができるはずだ。今回の件では私はマイクロソフトの方を信じる傾向がある」と付け加えた。
Intrinsic SecurityのCEOであるゲイリー・ロングサインもNightmare Eclipseに反論し、彼が客観的なセキュリティ研究者として機能しているかどうかに疑問を呈した。
「この人物はマイクロソフトに対して何らかの正当な不満を抱いているかもしれないが、正当なセキュリティ研究者はこのような行動はしない」と彼は述べた。「私は、自分が感じた不当な扱いへの報復として、文字通り何十億もの無辜の人々に損害を与えるようなことはしない。これは攻撃者であり、敵対者であって、セキュリティ研究者ではない。」
信頼の崩壊
さらに、コーディング生産性ツールベンダーKodeziのCEOであるイシュラク・カーンは、研究者とマイクロソフトの応酬に感情的な要素が含まれていることを懸念しており、それが信頼を損ない、その侵食こそが最大の危険になる可能性があると述べた。
「研究者は、開示が行われるはるか以前にすでに関係が壊れていたと感じているようだ。公開された投稿を読むと、繰り返し現れるテーマは単なる脆弱性調査ではなく、コミュニケーション、信頼、そして開示プロセスへのアクセスをめぐる不満だ」とカーンは述べた。「それらの主張が正確かどうかに関わらず、研究者は明らかに、プライベートなチャンネルが機能しなくなり、エスカレーションだけが残された選択肢だと信じていた。」
そしてその信頼の崩壊こそが重大な問題だとカーンは述べた。なぜなら、AIとりわけ自律型エージェントは、ベンダーと研究者の間にはるかに高い信頼を要求するからだ。
「業界は脆弱性発見の新たな時代に突入しつつある。ますます高度化するAIシステムが、数年前には不可能だった方法でバグを発見し、攻撃経路を特定し、研究者を支援しているのを目の当たりにしている。発見される脆弱性の量は増加し、発見から悪用される可能性までの時間は短縮されている」とカーンは述べた。「それが開示のダイナミクスを変える。かつて研究者とベンダーは月単位の時間軸で行動していた。今日では、発見は数時間以内に世界中に広まる可能性がある。かつてはひと握りの人々にしか影響を与えなかった信頼の崩壊が、今やエコシステム全体に影響を与えかねない。」
彼はこう付け加えた。「現実には、責任ある開示はシステムが機能していると双方が信じているときにのみ機能する。研究者は、発見した内容が真剣に受け止められるという確信が必要だ。ベンダーは、研究者が顧客を守るための十分な時間を与えてくれるという確信が必要だ。一方でもそのプロセスへの信頼を失った瞬間、モデル全体が脆くなる。」
「懸念しているのは、こうした争いがより公開的に、より対立的に、そしてより個人的になっているように見えることだ。セキュリティをめぐる議論が技術的な事実から、意図、評判、動機の問題へとシフトしてしまうと、顧客保護が対立そのものに対して二次的なものになるリスクがある。」
