マイクロソフト対ゼロデイ研究者、7月14日に「骨砕き」公開予告
Windowsのゼロデイ脆弱性6つを公開した研究者が、マイクロソフトとの対立を激化させ7月14日に新たな暴露を予告。法執行機関の関与も浮上している。
ゼロデイ公開がエスカレートする背景
マイクロソフトとセキュリティ研究者「Nightmare Eclipse」(別名:Chaotic Eclipse)との間で繰り広げられている対立が、新たな段階に突入した。この研究者はこれまでにWindowsのゼロデイ脆弱性を6つ公開しており、そのうち3つがすでに悪用されている状況だ。そして7月14日には「骨を砕くような衝撃」を与える新たな暴露を行うと宣言し、事態はさらに深刻化している。
公開された6つの脆弱性
マイクロソフトは5月27日(水)に公開したブログ記事で、Nightmare Eclipseが公開した6つの脆弱性について正式に言及した。その名称は以下の通りだ。 - RedSun
- UnDefend
- BlueHammer
- YellowKey
- GreenPlasma
- MiniPlasma マイクロソフトは、これらの脆弱性のいずれも正式なチャネルを通じて事前に報告されていなかったと主張している。研究者がGitHub(マイクロソフト傘下)とGitLabのアカウント上で公開した実用的な概念実証(POC)コードは、その後プラットフォームから削除された。
3つの脆弱性がすでに悪用されている
特に深刻なのは、BlueHammer、RedSun、UnDefendの3つの脆弱性だ。Nightmare EclipseがそれぞれのPOCコードを公開した直後から、攻撃者による悪用が確認されている。これは、協調されていない脆弱性の公開がもたらす実害を如実に示す事例といえる。 残りの3つのうち、YellowKey(CVE-2026-45585)については修正プログラムが未だ提供されておらず、マイクロソフトは「悪用される可能性が高い」と評価を引き上げた。これは、実用的なPOCコードが存在していることが根拠とされている。
マイクロソフトの対応と法的警告
マイクロソフトはブログ記事の中で、この種の非協調的な開示を明確に非難した。 「我々はこうした行動に断固反対する。顧客やデジタルエコシステムに害を及ぼしかねない、適切な協調の外にあるあらゆる開示に反対する」 さらにマイクロソフトは、法執行機関との連携に言及し、事実上の法的警告を発した。 「パッチ未適用の脆弱性に対する概念実証コードを悪意ある行為者の手に渡らせる非協調的な開示は、いかなる理由によっても正当化され得ない。現実世界に深刻な影響をもたらすものだ。(中略)デジタル犯罪対策ユニットは、こうした行為者やその犯罪活動を助長する者に対して訴訟を継続し、必要に応じて世界中の法執行機関と連携する」
研究者の主張と「屈辱」という言葉
一方、Nightmare Eclipse側にも独自の言い分がある。研究者は最新の声明で、マイクロソフトとのコミュニケーションが断たれた経緯について語った。 「私が積極的にコミュニケーションを求めたとき、あなたたちは拒絶し、私を屈辱を与え、人々の前で侮辱した」 研究者は、マイクロソフトのセキュリティ対応センター(MSRC)アカウントを閉鎖されたと主張している。これが事実であれば、脆弱性を正式なルートで報告する手段自体を奪われたことを意味する。また、CVE-2026-45585の勧告を通じて公然と誹謗されたとも述べている。
7月14日、何が起きるのか
最も注目すべきは、Nightmare Eclipseが7月14日に「骨を砕くような衝撃」を与える新たな暴露を行うと宣言している点だ。具体的な内容は明かされていないが、これまでの行動パターンからすると、新たなWindowsのゼロデイ脆弱性の公開を意味するとみられている。 6つのゼロデイのうち3つがまだ修正されていない現状で、さらに脆弱性が追加公開されれば、Windowsユーザーへのリスクは飛躍的に増大する。
協調的開示のあり方を問う構図
この事例は、脆弱性開示のあり方をめぐる長年の議論を再び表面化させている。セキュリティ研究者コミュニティの中には、マイクロソフトが報告者とのコミュニケーションを怠り、研究者を疎外することでこうした事態を招いた側面があると指摘する声もある。 一方で、未修正の脆弱性のPOCを公開することは、一般ユーザーを直接的なリスクに晒す行為であり、倫理的に許容されないという立場も根強い。攻撃者による悪用が即座に確認された事実は、この懸念を裏付けている。 マイクロソフト側は、The Registerの取材に対して、法的措置を検討しているかどうか、Nightmare Eclipseが現職または元従業員かどうか、MSRCアカウントの閉鎖を行ったかどうかについて、いずれも回答を拒否している。
今後の展開に注目
マイクロソフトとNightmare Eclipseの対立は、サイバーセキュリティ業界全体にとって看過できない問題へと発展しつつある。7月14日の「骨砕き」暴露が何をもたらすのか、そしてマイクロソフトが法執行機関と連携してどのような措置を講じるのか、引き続き注視が必要だ。
よくある質問
- Nightmare Eclipseが公開したゼロデイ脆弱性とは何ですか?
- ゼロデイ脆弱性とは、ソフトウェアの開発元がまだ把握しておらず、修正プログラムも提供されていないセキュリティ上の欠陥です。Nightmare EclipseはWindowsのゼロデイ脆弱性を6つ公開し、そのうち3つはすでに攻撃者による悪用が確認されています。
- マイクロソフトはなぜ法執行機関に連携したのですか?
- マイクロソフトは、未修正の脆弱性に対する実用的なPOCコードを公開する行為が「犯罪活動を助長する」ものだとして、デジタル犯罪対策ユニットを通じて法執行機関との連携を表明しました。非協調的な脆弱性の公開がもたらす実害への対応の一環です。
- 7月14日に何が起きると予想されますか?
- Nightmare Eclipseは7月14日に「骨を砕くような衝撃」を与える新たな暴露を行うと宣言しています。具体的な内容は明らかにされていませんが、これまでの経緯から新たなWindowsのゼロデイ脆弱性が公開される可能性が高いとみられています。
コメント