今回の話は、かなり人間くさいです。
単なる「脆弱性が見つかった」「パッチが出た」という技術ニュースではなく、研究者とMicrosoftの関係が完全にこじれた結果、0-day公開合戦みたいな状態になっている、というのが本質です。
記事によると、Nightmare Eclipse(Chaotic Eclipseとも呼ばれる)は、Windowsの深い知識を持つ一方で、Microsoftに強い不満を抱えている研究者です。この人物はこれまでに 6つのWindowsの0-day を公開しており、うち BlueHammer、RedSun、UnDefend の3件は、公開後すぐに実際の攻撃で使われ始めたとされています。
ここでいう 0-day は、修正がまだ間に合っていない脆弱性 のことです。要するに、パッチが出る前に悪用される“最悪寄り”のやつです。しかもそれが、研究者の公開コードをきっかけに、現実の攻撃へつながってしまった。これはかなり重いです。
Microsoftは今回、ようやくブログで反応しました。主張の骨子はこうです。
つまりMicrosoftは、かなり簡単に言えば
「そんな出し方をされたら困る。うちは敵対的な公開には強く反対する」
と言っているわけです。
ただ、ここで面白いのは、記事の中でも指摘されているように、Microsoftがこの件を 「相手がCVD(coordinated vulnerability disclosure、関係者で調整して脆弱性を開示するやり方)を破った」 と言いつつ、そのやり取りの実態を十分に見せていない ことです。
個人的には、ここが火に油を注いでいる感じがします。企業側が強い言葉を使うほど、外から見ると「何があったの?」となるんですよね。
一方のNightmare側は、かなり感情が爆発しています。記事では、研究者が次のように不満をぶちまけたと紹介されています。
さらに研究者は、「7月14日に“bone shattering”な公開をする」 とまで予告しています。
かなり物騒な言い回しですが、要するに「その日にまた何か出すぞ」という宣言です。もちろん、こういう脅しめいた言い方は全然ほめられません。これは普通に危険ですし、周囲の防御担当者を無駄に疲弊させます。
ただ、だからといって「Microsoft側が100%正しい」と即断できるかというと、記事を読む限りそこも少し怪しい。研究者本人は「正規の窓口を閉ざされた」と感じているようで、ここが完全に断絶しているのが厄介です。
この騒動で見落としてはいけないのは、これはネット上の口喧嘩だけではない、という点です。
BlueHammer、RedSun、UnDefend の3件は、PoC公開後に実際の悪用が始まったとされています。つまり、言い争いの横で、現実の攻撃者はとっくに動いているわけです。
しかも、まだ YellowKey、GreenPlasma、MiniPlasma には修正がない。
Microsoftは YellowKey(CVE-2026-45585) について、PoCが存在することを理由に「悪用される可能性が高い」と判断しています。
ここはかなり重要です。
脆弱性公開の議論って、しばしば「研究者の自由 vs 企業の都合」みたいな構図で語られますが、最終的に被害を受けるのは 企業そのものではなく、そこを使う利用者や組織 なんですよね。
その意味で、今回の件は“誰が悪いか”の争いで終わらせるには危険すぎると思います。
記事では、Microsoft寄りでも研究者寄りでもない、比較的実務目線のコメントがいくつか紹介されています。これがまた面白いです。
Zero Day InitiativeのDustin Childs氏は、Microsoftがもっと上手く対応できたはずだと見ています。
彼のポイントは次の通りです。
これはかなり筋が通っています。
企業は「うちは被害者です」と言うだけでなく、利用者が今すぐ何をすればいいか をはっきり出さないといけない。セキュリティ情報って、感情の発表会ではなく、運用のための情報ですから。
Luta SecurityのKatie Moussouris氏は、Microsoftの言い回しが 「混乱を招く」 と指摘しています。
特に彼女は、Microsoftが昔から使ってきた “responsible disclosure” という言葉に触れていますが、これは「責任ある公開」というより、企業側が都合よく使ってきた曖昧な言葉 でもあります。
Moussouris氏のコメントで印象的なのは、
という点です。
これは本当にその通りだと思います。
セキュリティ研究って、信頼の上に成り立っています。
「報告したら揉める」「公開したら敵扱いされる」と思われたら、真面目な研究者ほど離れていく。すると、残るのは雑な公開や悪用に近い人たちだけになる。最悪の方向です。
記事は、この騒動を単なるレアケースではなく、CVDの失敗例が積み重なった結果 として描いています。
そして、Microsoftに対する「報告しづらい」「扱いが厳しい」という声は、以前からずっとあるとも指摘されています。
特に印象的だったのは、
「一部の研究者は、Microsoftが面倒すぎて調べるのをやめた」
というコメントです。
これ、かなりまずいです。
脆弱性を見つける人が減るということは、見つかる前に攻撃される穴が増えるということでもあります。企業にとっても利用者にとっても損しかない。
だから、私はこの問題を「研究者が過激だった」で片付けるのは違うと思います。もちろん研究者の脅し文句はアウトですが、それでもそこまでこじれた背景を無視すると、同じ失敗を繰り返す はずです。
正直、この件はかなり“後味が悪い”です。
研究者の脅しめいた発言はもちろん論外。でも、Microsoftの対応も、外から見るとかなり強硬で、しかも説明が足りない。
結果として、技術的な問題が、名誉や感情や組織文化の問題にまで膨らんでしまった ように見えます。
セキュリティの世界って、本来は冷静さが命です。
でも現実には、人がやっている以上、怒りも屈辱もある。今回の記事は、その面倒くささをまざまざと見せてくれます。
そして皮肉なのは、そんな“人間ドラマ”の隙間で一番困るのが、Microsoftでも研究者でもなく、Windowsを使っている企業やユーザー だということです。
.svg)
この騒動は、単なる「0-dayを公開した研究者がいた」という話ではありません。
脆弱性報告の仕組みが、信頼関係なしでは簡単に崩れる ことを示した事例です。
セキュリティは、技術だけでは回りません。
信頼、説明責任、タイミング が全部そろって初めて機能します。今回の件は、そのどれか1つでも欠けると、あっという間に泥沼になる――そんな教訓のように見えます。
