脆弱性を発見して研究結果を公開するセキュリティ研究者に対し、Microsoftは「訴訟を起こす意図はない」と月曜日に表明しました。これは、同社の公式ブログへの投稿がセキュリティコミュニティから強い反発を受けてから数日後のことです。
問題の投稿は、最近相次いだ調整なしのWindowsゼロデイ公開を「決して正当化できない」と非難し、犯罪者を支援する者に対してDigital Crimes Unitが「引き続き訴訟を起こす」と述べていました。
Microsoftは、今回の公開の背後にいる匿名の研究者「Nightmare Eclipse」を名指しで直接脅迫することこそ避けましたが、その公開自体が「不必要なリスク」をもたらしたと表現しており、同社の言葉遣いは脅しと受け取られました。
この投稿はセキュリティコミュニティから批判を浴び、多くの研究者がNightmare EclipseのMicrosoftへの不満に共感を示しました。研究者が訴える不満には、MicrosoftがそのMicrosoft Security Response Center(MSRC)アカウントを削除し、バウンティ報酬を保留し、少なくとも1件のアドバイザリから研究者のクレジットを削除したという主張が含まれています。
今回の新たな声明は、公式ブログではなくソーシャルメディアで発表されました。Microsoftはフィードバックを真剣に受け止めているとしたうえで、「法的対応に関する当社の方針を明確にしておくと、セキュリティ研究を実施または公開している個人に対して訴訟を起こす意図はありません」と述べています。
ただし、「個人が法律に違反し、当社の顧客に実害を与える悪意ある行為を行った場合は、適切に法執行機関と連携します」との留保条件も付け加えました。
Microsoftは研究者との関係において自社の対応に不備があったことを認め、「一部のやり取りが十分ではなかった」と述べ、それらの出来事から「学ぼうと取り組んでいる」としています。ただし、Nightmare Eclipseの具体的な主張については直接言及していません。
今回の声明では、元の投稿に4回登場した「responsible disclosure(責任ある開示)」という表現も削除されました。代わりにMicrosoftは「Coordinated Vulnerability Disclosure(調整された脆弱性開示)」という用語を使用しています。これは同社が2010年に採用した表現で、これに従わない研究者が無責任であるかのような印象を与えないよう、あえて選ばれたものです。
Microsoft在籍時にこの旧来の用語の廃止に貢献したKatie Moussourisは、先週の投稿でこの表現が復活したことを「含意が重い」と指摘し、「誰かを無責任と呼びたい場合でなければ、いかなるベンダーもその用語は使わない」とBlueskyに書き込んでいました。
Microsoftは「セキュリティコミュニティは、顧客を守るうえで不可欠な役割を担っています。建設的かつ敬意ある関係を維持し、ともに成長していくことにコミットしています」と述べました。
「この仕事の性質上、時に誤解が生じることは承知しています。過去のやり取りにかかわらず、すべての研究者に対して誠実に関わり、敬意ある専門的な対応を提供することに引き続きコミットしていきます」
Nightmare Eclipseは自身のブログへの投稿で、「最近の出来事」を受けて他の研究者から接触があり、中には脆弱性を直接提供してくれたケースもあったと述べました。また、新たなSecure Boot脆弱性を6月中に公開すると発表しています。このバグは「BitLockerを完全にバイパスする」ものであり、機密性の高い仮想マシンの侵害にも悪用される可能性があるとしています。
Microsoftは本稿掲載前にコメントの求めに応じませんでした。
翻訳元: https://therecord.media/microsoft-says-it-will-not-pursue-security-researchers-disclosure
