Microsoftは、正当なセキュリティリサーチを実施または公開するセキュリティ研究者に対して、法的措置をとる意図は一切ないとグローバルなサイバーセキュリティコミュニティに向けて声明を発表しました。
「Nightmare-Eclipse」として知られる研究者との対立が巻き起こした論争を受けた、重要な方針の軟化です。
この騒動は2026年4月、Nightmare-Eclipseというハンドルネームを持つ匿名の研究者が、Microsoftへの事前通知なしに、Windowsのコアコンポーネントに影響するゼロデイ脆弱性を公開し始めたことに端を発します。
その後数週間にわたり、この研究者は6つの未パッチ脆弱性の詳細と実証コード(PoC)を公開しました。BlueHammer(CVE-2026-33825)、RedSun(CVE-2026-41091)、UnDefend(CVE-2026-45498)、YellowKey(CVE-2026-45585)、GreenPlasma、MiniPlasmaの6件です。
これらの脆弱性は、Windowsが誇る2つの重要なセキュリティ機能——Windows Defender(組み込みのウイルス対策エンジン)とBitLocker(ディスク暗号化ツール)——を標的としていました。
6件のうち少なくとも3件——BlueHammer、RedSun、UnDefend——は、その後実際の攻撃での悪用が確認されており、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)もこれを裏付けています。
Nightmare-Eclipseは、公開に踏み切った動機としてMicrosoftによる過去の脆弱性報告の取り扱いへの不満を挙げており、同社からMicrosoft Security Response Center(MSRC)ポータルへのアクセスを取り消され、報告用アカウントも削除された上、バグバウンティプログラムによる報酬も支払われなかったと主張しています。
2026年5月下旬、MicrosoftのMSRCはブログ記事を公開し、研究者の行動を非難しました。同社は事前調整なき脆弱性開示を「いかなる場合も正当化されない」と断じ、Digital Crimes Unitが「これらの行為者および犯罪行為を支援する者に対して訴訟を起こし続け、必要に応じて世界中の法執行機関と連携する」と警告しました。
サイバーセキュリティコミュニティはすぐに反発しました。批判者たちは、この表現が過度に広範であり、悪意ある行為者だけでなく、Microsoftが定めるチャネル以外で脆弱性の詳細を公開するあらゆる研究者をも脅かしかねないと主張しました。
Microsoftのバグバウンティプログラムを自ら設計したKatie Moussouris氏でさえ、この対応を公に「やり過ぎ」と評しました。Microsoftの子会社であるGitHubとGitLabの両社もNightmare-Eclipseのアカウントを停止し、緊張はさらに高まりました。
Microsoft、研究者への法的措置を否定
コミュニティの反発を受け、Microsoftは明確かつ重要な線引きをした新たな声明を発表しました。
同社は、セキュリティリサーチを実施または公開する個人に対して措置をとる意図はないことを確認し、法的関与は「法を犯し、顧客に実害をもたらす悪意ある活動に関与した」場合に限ると明言しました。
Microsoftは「一部のやり取りが十分ではなかった」と認め、そこから学ぶことを約束するとともに、顧客保護の基盤として協調的脆弱性開示(CVD)へのコミットメントを改めて表明しました。
また、脆弱性報告の件数は増加し続けており——特にAIを活用したリサーチの台頭により——自社スタッフの多くも研究者としての経験を持つことも強調しています。
この方針の明確化は、悪化した関係を修復するための重要な一歩です。MicrosoftのMSRCは年間多数の脆弱性報告を処理しており、「過去のやり取りや評判を問わず」公開ポータルからのすべての研究者による報告を引き続き歓迎しています。
セキュリティの専門家は引き続き、CVDのベストプラクティスに従い、詳細な概念実証(PoC)ステップを含む調査結果をMSRCの研究者ポータルから提出し、開示タイムライン全体を通じてオープンなコミュニケーションを維持することが推奨されます。
今回のインシデントは、ベンダーと研究者の関係がいかに迅速に崩壊しうるか、そしてそれが起きた際に現実のセキュリティ上の深刻な結果をもたらすことを、改めて浮き彫りにしました。
翻訳元: https://gbhackers.com/microsoft-no-lawsuits-against-researchers/
