相次ぐゼロデイ公開とMicrosoftの反論
PC Watch(宇都宮充氏)の報道によると、Microsoftは2026年5月27日、「YellowKey」「BlueHammer」「RedSun」「UnDefend」「GreenPlasma」「MiniPlasma」と呼ばれる複数のゼロデイ脆弱性が、協調的脆弱性開示(Coordinated Vulnerability Disclosure、CVD)に基づかずに公開されたとして、その対応を強く非難する声明を発表した。
協調的脆弱性開示(CVD)とは何か
CVDとは、セキュリティ研究者が脆弱性を発見した際、対象企業に事前通知し、公開前にパッチを準備する時間を与える業界標準の取り組みだ。これにより攻撃者が脆弱性を悪用できる窓口が最小化される。多くの大企業はCVDに基づく報告に対してバグバウンティ(報奨金)を支払う制度を整えており、研究者にとっても経済的インセンティブが存在する仕組みだ。
Microsoftは今回の事態について、「パッチ未適用の脆弱性の概念実証コードを攻撃者に渡すような行為であり、決して正当化されず、深刻な結果をもたらしうる」として断固反対の姿勢を示している。
発見者との対立経緯と7月14日予告
今回問題となった脆弱性はいずれも「Nightmare-Eclipse」名義の研究者が報告したものとされる。PC Watchの報道によると、MicrosoftはYellowKeyの緩和策公開時にCVDに従っていないとしてNightmare-Eclipse氏を名指しで非難。これに対し同氏は自身のブログで「Microsoftの声明は自身への誹謗中傷だ」と反論し、以前のMicrosoftの対応に不満があったことを明らかにした。
その後、Nightmare-Eclipse氏のGitHubアカウントは停止され、現在は閲覧不能な状態となっている。同氏は5月23日の投稿で「7月14日に何らかの報復を行なう」と予告しており、セキュリティコミュニティの間で緊張が高まっている。
Microsoftはセキュリティパッチの開発を継続するとともに、世界中の法執行機関と連携して法的措置を講じていく方針を示した。透明性を重視しながらセキュリティコミュニティとの対話を継続するとし、ポータルサイトからの脆弱性報告も引き続き受け付けるとしている。
日本市場での注目点
今回公開された脆弱性はWindows・Microsoft製品に関連するものとみられ、国内のWindowsユーザーや企業のシステム管理者にとっても直接的な影響がある。すでに緩和策が公開されているYellowKeyについては、Windows Updateを通じたパッチ適用が最優先だ。
注目すべきは日程だ。7月14日はMicrosoftの月例パッチリリース(Patch Tuesday)が例月どおり予定される前後にあたる。Nightmare-Eclipse氏の「報復」がどのような形態を取るかは現時点では不明だが、7月の定例セキュリティ更新は例月以上に注意深く確認する必要があるだろう。国内企業のセキュリティ担当者は今から対応計画を立てておくことを強く推奨する。
筆者の見解
CVDは脆弱性情報エコシステムの根幹をなすルールだ。事前通知なしのゼロデイ公開は、パッチ未適用の攻撃手法を世界中の攻撃者へ無償配布するに等しく、その被害を受けるのはMicrosoftではなく一般ユーザーと企業だ。その意味でMicrosoftの非難声明の主旨は理解できるし、正しい。
ただ、今回の一件は単純な「悪い研究者 vs 正しいMicrosoft」の構図では収まらない可能性がある。GitHubアカウントの停止を含む対応が研究者コミュニティにどう映るかは慎重に考える必要がある。「Microsoftへ脆弱性を報告すると不利益を受ける」という認識がコミュニティ内に広まれば、CVDへの協力者は減り、長期的にはMicrosoftのセキュリティ体制そのものが弱体化しかねない。
Microsoftには、7月14日を迎える前に適切なパッチの提供と、今回の経緯に関する透明性ある説明を行ってほしい。これだけのユーザーベースと技術力を持つ企業だからこそ、セキュリティコミュニティとの信頼関係の構築・修復において業界の手本を見せることができるはずだ。その期待を込めての指摘である。
出典: この記事は Microsoft、立て続けのゼロデイ脆弱性公表を非難。発見者は7月に報復と予告 の内容をもとに、筆者の見解を加えて独自に執筆したものです。