Tom's Hardwareが報じたのは、Microsoftとセキュリティ研究者のあいだで起きた、かなり後味の悪い一件です。
対象になったのは、Nightmare-Eclipse、別名 Chaotic Eclipse と呼ばれる研究者です。
この人物は、Windowsのゼロデイ exploit を投稿したことで、MicrosoftのGitHubアカウントを停止されたとされています。
ここでいう ゼロデイ とは、まだ修正されていない脆弱性 のこと。つまり、悪用されると危険なのに、メーカー側の対策がまだ間に合っていない状態です。
そして exploit は、その弱点を使ってシステムに影響を与える手法のこと。ざっくり言うと「穴を突くための具体的なやり方」です。
Microsoftは、研究者のGitHubアカウントを停止しただけでなく、彼らが脆弱性報告に使っていたMicrosoftアカウントも、すでに削除していたと記事は伝えています。
研究者側は当然反発し、GitLabへ移行 したそうです。GitHubが使えなくなったので、別のコード共有サービスに移ったわけですね。
研究者はブログ投稿の中で、Microsoftの対応を「vindictive(報復的)」だと批判しています。
さらに、Microsoftがこれまで連絡を無視してきたとも主張し、報奨金プログラム MSRC で「ゼロペニー」しか受け取れなかったと述べているようです。
MSRCは、Microsoft Security Response Centerの略で、脆弱性報告を受け付ける窓口です。
本来は、研究者が見つけた問題をMicrosoftに伝え、修正につなげるための仕組みです。うまく回れば、企業にとってもユーザーにとっても安全性が上がる、かなり大事な制度です。
だからこそ、もし本当に「報告したのにまともに扱われない」「報奨も出ない」「アカウントまで止められる」という流れが事実なら、研究者が不満を爆発させるのも理解できなくはないです。
ただし、ここは研究者側の主張が中心で、Microsoftの詳細な反論や停止理由は記事本文の範囲でははっきり示されていません。そこは冷静に見ておくべきだと思います。
この件で特に目を引くのは、OGのdescriptionにもある 「I will make sure your bones are shattered [on July 14]」 という、かなり物騒な文言です。
もちろん、これが誰のどの発言を指すのか、文脈を丁寧に読む必要はあります。ですが、少なくとも記事タイトルや紹介文のトーンを見る限り、これはただの技術論争ではなく、かなり感情的で危険な空気を含んでいます。
個人的には、ここが一番やっかいだと思います。
セキュリティ研究の世界では、企業と研究者がぶつかること自体は珍しくありません。けれど、そこに脅迫めいた言葉や報復宣言が混ざると、一気に話が別物になります。
もはや「バグ報告と対応の行き違い」ではなく、信頼関係の完全崩壊に近いです。
この手の揉め事は、かなり構造的な問題を抱えています。
特に、ゼロデイのような話はデリケートです。
公開のタイミングを間違えると、善意の報告がそのまま悪用材料になりかねません。だからこそ、企業側には迅速で丁寧な対応が求められるし、研究者側にも節度が必要です。
今回の件は、その両方がうまくいかなかった可能性を感じさせます。
とはいえ、私はここで一方だけを悪者にするのは危険だと思います。企業の対応が不適切だったのか、研究者の発信が過激だったのか、その両方なのか。記事から見えるのは、かなりこじれた結果としての“炎上”です。
この話が面白いのは、単なる個人トラブルではなく、巨大プラットフォームとセキュリティ研究者の力関係が見えるところです。
GitHubは開発者にとって実質インフラみたいなものなので、そこでアカウント停止になるのはかなり重い処分です。研究者にとっては、活動の場そのものを失うに近い。
一方で、セキュリティ研究者の側も、社会的な役割が大きいぶん、扱いを間違えると「正義の人」から「厄介な存在」へ一気に見られがちです。
このバランスの悪さは、昔からずっとある問題ですが、今回のケースはその極端な例に見えます。
こういうニュースを見るたびに思うのですが、セキュリティの世界は「技術力」だけでは回りません。
信頼、連絡、説明、節度。この4つが欠けると、すぐに泥仕合になります。
今回もまさに、その典型例ではないかと思います。
