5分で読めます
出典:Drew Angerer / Getty Images
マイクロソフトが、最近数週間にわたり複数のゼロデイエクスプロイトを公開した不満を抱くセキュリティ研究者に対して刑事訴追を求める方針を示したことで、サイバーセキュリティコミュニティからの批判が相次いでいます。
先週公開されたブログ投稿の中で、マイクロソフト セキュリティ レスポンス センター(MSRC)は、「Chaotic-Eclipse」または「Nightmare-Eclipse」と名乗る匿名の研究者が相次いで公開したゼロデイ脆弱性とエクスプロイトについて見解を示しました。発端は4月初旬、この研究者がCVE-2026-33825として追跡されているWindows Defenderの権限昇格の脆弱性「BlueHammer」の概念実証(PoC)エクスプロイトをGitHubで公開したことです。
「マイクロソフトに対してブラフではなかった。今度もまた同じことをする」と、Nightmare-Eclipseは当時のブログに記しています。
この研究者は宣言どおり同月中に実行へと移し、「RedSun」および「Undefend」と名付けられた2件の脆弱性のエクスプロイトを公開しました。これらはBlueHammerとともに、脅威アクターによって実際の攻撃に素早く悪用されました。Nightmare-Eclipseは一連のブログ投稿の中で、報告した脆弱性に対するMSRCの対応を強く批判し、マイクロソフトが問題への対処を拒否したと主張しています。
Nightmare-Eclipseは今月も「YellowKey」「GreenPlasma」「MiniPlasma」と呼ばれる脆弱性のエクスプロイトを公開し続けました。業を煮やしたMSRCは水曜日のブログ投稿で、6件の脆弱性は「責任ある開示の手続きを踏んでいない」とし、この研究者の行動を強く非難しました。
「未パッチの脆弱性の概念実証コードを悪意ある者の手に渡す、協調なき開示は決して正当化されず、現実世界に深刻な影響をもたらします」とMSRCはその投稿で述べています。「当社のデジタル犯罪ユニットは、こうした行為者およびその犯罪行為を可能にする者に対して、引き続き法的措置を講じていきます。必要に応じて世界中の法執行機関と連携します。」
この最後の部分は、セキュリティ専門家の間でほぼ一致して、Nightmare-Eclipseのみならずゼロデイを公開する研究者全般に対するマイクロソフトの刑事訴追の脅しと受け取られました。セキュリティ研究コミュニティから反発を招いたのは、ある意味当然の結果でした。
セキュリティ専門家、MSRCの投稿に異議
多くのセキュリティ専門家がソーシャルメディアに投稿し、Nightmare-Eclipseに対するマイクロソフトの対応を批判しました。Luta Securityの創設者兼CEOであり、脆弱性開示プログラムの先駆者でもあるKatie Moussourisは、ソーシャルメディアプラットフォームBlueSkyへの投稿で、ゼロデイを公開することは「研究者が取り得る最悪の行為ではない」とし、脆弱性の非開示の方がはるかに問題だと主張しました。
そして「研究者を非開示へと駆り立てるものは何か?ベンダーからの脅しだ」とMoussourisは語っています。
脆弱性を隠蔽することには大きなリスクが伴います。ベンダーが問題を修正する機会を奪うだけでなく、脅威アクターが独自に脆弱性を発見し、密かに悪用する可能性を残してしまうためです。不満を抱えた研究者が、発見した内容をゼロデイブローカー、スパイウェア企業、またはサイバー犯罪グループに売却する選択肢を取ることもあります。
BugCrowdの創設者であるCasey John EllisはDark Readingに対し、Nightmare-Eclipseをめぐる状況は複雑であるものの、研究者を刑事訴追で脅すというマイクロソフトの判断は「極めて近視眼的な行動だ。特に、安全で透明性があり研究者に友好的なイメージをマーケットに打ち出すために多大な投資をしてきた後では、なおさらだ」と述べています。
VolexityのThreat ResearchディレクターであるAndrew CaseはXへの投稿で、ブログ投稿を公開することでMSRCは「この10年間で積み上げてきた信頼を全て棒に振ることにした」と述べています。マルウェア解析に特化した研究コミュニティのVX-Undergroundも、先週のX投稿で同様の見解を示しています。
「マイクロソフトはセキュリティ研究者を本当に怒らせており、我々は転換点に近づいていると思う」とVX-Undergroundはその投稿で述べています。
セキュリティ専門家たちはソーシャルメディア上で、過去にMSRCとの間で経験した否定的な体験についても発信しています。例えば、セキュリティ研究者でElasticの元プリンシパルソフトウェアエンジニアのGabriel Landauは、マイクロソフトのDevice Guardのバイパスを報告した際の不快な経験についてXに長文の投稿を書いています。このソフトウェア大手はパッチチューズデーの更新プログラムで脆弱性を修正したにもかかわらず、LandauはマイクロソフトからCVE発行の基準を満たさないと告げられ、CVEが発行されなかったと述べています。
「この経験で非常に嫌な思いをしたので、もう彼らと関わる気にはなれない」と彼は書いています。
マイクロソフトはこの批判を受けて明らかに方針を修正しました。同社は日曜の夜、ブログ投稿の強硬な立場を和らげる声明をXに投稿しました。
「法的事項に対する当社のアプローチを明確にしておきたいのですが、セキュリティ研究を実施または公開している個人に対して法的措置を取るつもりはありません」とマイクロソフトは述べています。「個人が法律を犯し、当社の顧客に実害をもたらす悪意ある行為を行った場合には、必要に応じて法執行機関と連携します。」
AIが脆弱性報告プロセスに与える負荷
Nightmare-Eclipseの一連の出来事が起きているのは、多くのベンダーやオープンソース団体が「AIスラップ(AI slop)」の波に溺れかけている時期と重なっています。これは、大規模言語モデル(LLM)によって作成されたとみられる不正確なPoCを含む粗悪なバグ報告のことです。さらに、AnthropicのMythosやOpenAIのDaybreakといった最新のフロンティアモデルの登場により、AIを通じて発見される新たな脆弱性によるエクスプロイトの嵐を予測する専門家も出てきています。
EllisはAIが昨今の研究者とベンダー間の摩擦に「確実に」寄与していると述べています。「私たちは今まさにスロップデミック(slopdemic)の真っ只中にいますが、同時に脆弱性を発見することが本当に容易になっている時代でもあります。現実には、脆弱なコードはまだ非常に多く存在しています」と彼は語っています。「私たちが直面している主な症状はトリアージストレスであり、肝心なものまで一緒に捨ててしまうリスクがあります。」
一方、マイクロソフトのユーザーはさらなるゼロデイ公開による追加リスクに直面する可能性があります。金曜日には、Nightmare-Eclipseが自身のブログで、複数の研究者から連絡があり「文字通り脆弱性を無償で提供してくれた」と明らかにし、それらを将来公開する意向を示しています。
その1週間前には、Nightmare-Eclipseがマイクロソフトに屈辱を与えられ名誉を傷つけられたとして報復を誓う、謎めいた投稿を公開しています。「7月14日という日付を覚えておけ。その日、必ずお前たちを粉砕する」と研究者は書いています。
Dark Readingはマイクロソフトにコメントを求めましたが、同社はそれ以上のコメントを断りました。
翻訳元: https://www.darkreading.com/application-security/microsoft-zero-day-legal-threats-backlash
