CISA、ソフトウェアベンダーに脆弱性開示プログラムの制度化を促す
共同ガイダンスは、AIが脆弱性発見を加速させ脆弱性管理への圧力を高める中で、ソフトウェアベンダーがセキュリティ研究者とどのように連携すべきかを示すもの。 米サイバーセキュリティ・インフラセキュリティ庁(CISA)と海外の4
共同ガイダンスは、AIが脆弱性発見を加速させ脆弱性管理への圧力を高める中で、ソフトウェアベンダーがセキュリティ研究者とどのように連携すべきかを示すもの。 米サイバーセキュリティ・インフラセキュリティ庁(CISA)と海外の4
匿名のセキュリティ研究者が、オープンソースプロジェクトに存在するゼロデイ脆弱性の概念実証(PoC)エクスプロイトを30件以上、開発元に事前通知することなく公開しました。 この一連の公開情報は「Exploitarium」と名付けられ、Discord上で「bikini」「ashdfrkl」と名乗る人物によってGitHub上
独自報道 Microsoftはこの90日間、ひっそりとSurfaceデバイスのファームウェア脆弱性にパッチを当ててきました。この脆弱性は、Secure CoreおよびSecure Bootを無効にしたデバイスに限りますが、単一のパケットでハードウェアを文鎮化できるものでした。そして同社のCopilot AIソ
マイクロソフトはここ数週間で古い傷を再び開かせ、脆弱性開示をめぐる議論と、セキュリティ研究者とベンダーの間に生まれることのある敵対的な関係について、改めて活発な論争を引き起こしています。 今回の騒動は、マイクロソフトがあるセキュリティ研究者に対して刑事法的措置を示唆したことに端を発します。その研究者は、概念実証(Po
Microsoftは、正当なセキュリティリサーチを実施または公開するセキュリティ研究者に対して、法的措置をとる意図は一切ないとグローバルなサイバーセキュリティコミュニティに向けて声明を発表しました。 「Nightmare-Eclipse」として知られる研究者との対立が巻き起こした論争を受けた、重要な方針の軟化です。
Microsoftは、正当なセキュリティ研究を実施・公開する研究者に対して法的措置を取る意図はないと明確にする続報声明を発表しました。コミュニティからの広範な批判を受けての対応です。 この騒動は、2026年4月初旬から5月中旬にかけて、「Nightmare Eclipse」というハンドルネームを使用する匿名の研究者が
マイクロソフトは、数週間にわたって続く非協調的なWindowsゼロデイ公開キャンペーンに対し、初めての公式見解を発表した。同社はこれらの開示を「いかなる場合も正当化できない」と非難し、サイバー犯罪を可能にする者に対して法的措置を取る可能性を示唆した。 「Nightmare Eclipse」というハンドルネームを持つ
マイクロソフト対Nightmare Eclipse(別名Chaotic Eclipse)——Windowsへの深い理解と、さらに深いマイクロソフトへの恨みを持つ不満を抱えたバグハンターの長きにわたる確執が、新たな段階に突入した。これまでに6つのWindows ゼロデイを公開してきたこの研究者は、7月14日に「
マイクロソフトは新たな声明の中で、パッチが提供される前、かつ事前通知なしに同社製品の脆弱性を公に報告したセキュリティ研究者たちを批判した。 こうした「非協調的な開示は、顧客を不必要なリスクにさらすものだ」と、同テック大手は述べた。 パッチ提供前に開示されたマイクロソフトの6件のゼロデイ脆弱性 この声明は5月27日に公開
マイクロソフトは、ゼロデイ脆弱性の早期公開開示に対して強い警告を発した。事前の調整なしに重大なセキュリティ上の欠陥が露出した最近の事例を複数挙げ、数百万の顧客が即座に危険にさらされていると指摘した。 マイクロソフト セキュリティ レスポンス センター(MSRC)の声明において、同社は6件の脆弱性、RedSun(CVE