崩れた合意
Microsoftと独立系セキュリティ研究者コミュニティの間に高まっていた摩擦が、予想外の展開を見せています。激しい批判が相次ぐ中、同社は自社の立場を公式に明確化せざるを得ない状況に追い込まれました。具体的には、脆弱性の情報が公開形式で開示された場合であっても、セキュリティ研究者に対して法的手段を講じるつもりはないと表明しました。
対立の発端
この論争の火種となったのは、Windowsに存在する複数のゼロデイ脆弱性を取り上げたMicrosoftの最近の公式ブログ投稿でした。同社はその中で、許可を得ない情報開示は一切容認できないと主張しました。さらに、悪意ある行為者を意図せず支援した人物に対しても、Digital Crimes Unitが継続的に制裁措置を講じていくと警告しました。文中にはNightmare Eclipseというハンドルネームを持つ研究者への言及は一切ありませんでしたが、情報セキュリティコミュニティはこの警告を同氏への暗黙の脅しと広く受け取りました。
コミュニティの強烈な反発
セキュリティコミュニティは強い憤りをもってこれに反応し、多くの専門家がNightmare Eclipseへの支持を表明しました。同研究者によれば、MicrosoftはMicrosoft Security Response Centerプラットフォームにおける彼のアカウントを突然停止したとのことです。また、未払いのバグバウンティ報奨金を差し止め、少なくとも1件の公式脆弱性アドバイザリから彼の名前を削除したとも述べています。
SNSを通じた方針の明確化
こうした不満が高まる中、Microsoftは突如として方針の明確化を図りました。従来型の企業ブログではなく、公開のSNSチャンネルを通じて発信したことも注目されます。同社はコミュニティからのフィードバックを真摯に評価したと強調し、善意のセキュリティ研究や公開情報の開示に関わる人物に対しては法的措置を取らない方針を改めて表明しました。
免責の範囲と運用上の課題
一方で同社は重要な留保条件も示しており、明確な法令違反や自社ユーザーへの実害が認められるケースについては、引き続き法執行機関と連携していく姿勢を維持するとしています。
過去の対応の問題点を認める
Microsoftはまた、外部の研究者との過去のやりとりが時として不適切であったと率直に認めました。今後はこうした摩擦から教訓を得て、コミュニティとの関係改善に努める姿勢を示しています。ただし、今回の声明ではNightmare Eclipseが提起した具体的な不満には一切触れませんでした。
用語の変化と協調的な脆弱性開示
今回の声明で注目すべき表現の変化がもう一点あります。Microsoftはこれまで繰り返し使用してきた「responsible disclosure(責任ある開示)」という表現を意図的に排し、「coordinated vulnerability disclosure(協調的な脆弱性開示)」という呼称に立ち戻りました。このフレームワークはMicrosoftが2010年に提唱したもので、通常の企業対応スケジュールの範囲外で脆弱性を公表せざるを得ない研究者を不当な非難から守ることを目的としていました。
ベンダーによる責任転嫁という構図
この用語の変遷を主導した元Microsoftの戦略家であるKatie Moussouris氏は、かつて旧来の表現への逆戻りを批判していました。氏の見解では、ソフトウェアベンダーはこうした語彙を持ち出すことで、独立した研究者による開示行為を本質的に無責任なものとして暗に位置づけようとすることが多いとしています。
Secure Boot脆弱性の開示が迫る
一方、Nightmare Eclipseは自身のブログで、今回の一連の騒動をきっかけに他の研究者から多くの情報提供が相次いでいると明かしました。こうした協力の積み重ねにより、未修正のSecure Bootの欠陥に関する技術的な詳細報告の公開が間近に迫っているとのことです。同氏の初期調査によれば、この設計上の脆弱性はBitLocker保護の完全な回避を可能にするものであり、機密性の高い仮想マシンの整合性に対して重大な脅威をもたらす可能性があるとしています。
翻訳元: https://meterpreter.org/microsoft-zero-day-dispute/
