Microsoftは、正当なセキュリティ研究を実施・公開する研究者に対して法的措置を取る意図はないと明確にする続報声明を発表しました。コミュニティからの広範な批判を受けての対応です。
この騒動は、2026年4月初旬から5月中旬にかけて、「Nightmare Eclipse」というハンドルネームを使用する匿名の研究者が、Microsoft DefenderやBitLockerを含むWindowsの主要コンポーネントを標的とする6件のゼロデイエクスプロイトを公開したことに端を発しています。
これらの脆弱性にはBlueHammer(CVE-2026-33825)、RedSun(CVE-2026-41091)、UnDefend(CVE-2026-45498)、YellowKey(CVE-2026-45585)、GreenPlasma、MiniPlasmaというコードネームが付けられており、いずれもMicrosoftへの事前通知なしに公開されました。
そのうち3件のエクスプロイトは、後に実際の攻撃で悪用されていることが確認されました。この事実は、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)によっても裏付けられています。
Nightmare Eclipseは、Microsoftが以前にMicrosoft Security Response Center(MSRC)ポータルへのアクセスを停止し、バグ報告を無視していたと主張しており、これにより協調的な脆弱性開示のチャンネルが事実上遮断されたとしています。
2026年5月28日、MicrosoftのMSRCブログはこれらの開示を「決して正当化できない」と非難し、民事訴訟・刑事告発・法執行機関との連携を担うデジタル犯罪ユニットが「こうした行為者およびその犯罪活動を支援する者に対して訴訟を継続する」と警告しました。
この声明はサイバーセキュリティコミュニティに即座に衝撃を与え、専門家たちは今後の脆弱性報告に深刻な萎縮効果をもたらすと警鐘を鳴らしました。
その後、Microsoftは一歩引いた立場を示しました。新たな声明の中で同社は次のように明言しています。「セキュリティ研究を実施・公開する個人に対して法的措置を取る意図はありません。」
「この数日間、協調的な情報開示やセキュリティ研究者とベンダーの関係を巡る議論に耳を傾けてきました。この関係は非常に重要であると同時に、時として脆弱であることを認識しています。私たちはセキュリティコミュニティを深く重視しており…」
同社は、法的手段はあくまで「法律に違反し、顧客に実害を与える悪意ある行為を行う個人」にのみ行使するものだと強調しています。
Microsoftはベンダーと研究者の関係の脆弱さを認め、「一部のやり取りが十分ではなかった」と認めた上で、今後のすべての対応においてより高い透明性、明確なコミュニケーション、プロフェッショナリズムを徹底すると約束しました。
同社はまた、協調的脆弱性開示(CVD)を「顧客保護と製品改善の基盤」として引き続き推進していくと改めて表明しました。一方で、AIを活用した研究によってさらに加速するかたちで、脆弱性報告の件数と複雑さが増し続けていることも認識しています。
Microsoftによる今回の明確化は、真に悪意ある行為者への法的対処と、広範なセキュリティ研究コミュニティとの間に明確な線引きをするものです。
同社は、自社スタッフの多くが脆弱性開示の両側――報告する研究者としても、MSRCの対応者としても――の経験を持っており、この双方の視点がプロセスを適切に機能させるという取り組みの礎になっていると述べています。
Microsoftは「誠実な姿勢」で関わり続け、「過去のやり取りにかかわらず、すべての研究者に対して敬意を持ったプロフェッショナルな対応を提供する」という取り組みを継続すると表明しています。
それでもNightmare Eclipse事件は、大手ベンダーが研究者との関係をどう扱うか――特にアカウントアクセス、バグバウンティの透明性、迅速なパッチ提供といった点での深刻な構造的問題を浮き彫りにしました。セキュリティコミュニティは、Microsoftがこれらの課題に言葉だけでなく具体的な行動で応えることを求めています。
翻訳元: https://cyberpress.org/microsoft-nightmare-eclipse-case/