Microsoftは、協調的な脆弱性開示（CVD）を強く支持し、研究コミュニティに対し、発見した内容を共有し、影響を受けるベンダーが公開前にその影響をより深く理解し、対処する機会を与えるよう求めています。  この展開は、Chaotic Eclipse（別名Nightmare-Eclipse）という研究者が、過去1か月間にわたり、**Defender**や**BitLocker**を含む複数の**Windows**コンポーネントに影響を与える複数のゼロデイ脆弱性の詳細を、**Microsoft**の脆弱性開示プロセスの対応における問題点を指摘して開示したことを受けています。 「ここ数週間、いくつかのゼロデイ脆弱性が公に開示されました」と、このテクノロジー大手は述べています。「これらの脆弱性の詳細は、公開前に**Microsoft**と共有されておらず、開示は顧客を不必要なリスクにさらしました。」 「これらの開示によって生じた不必要なリスクに対応するため、当社のセキュリティチームは、影響を理解し、顧客を保護し、セキュリティアップデートを開発するために、昼夜を問わず取り組んでいます。」 ### 開示された脆弱性 脆弱性には、**BlueHammer**（**CVE-2026-33825**）、**RedSun**（**CVE-2026-41091**）、**UnDefend**（**CVE-2026-45498**）、**YellowKey**（**CVE-2026-45585**）、**GreenPlasma**、**MiniPlasma**が含まれます。開示後、BlueHammer、RedSun、UnDefendはすべて、実世界で積極的に悪用されています。 **Microsoft**は、このような非協調的な開示に「断固として」反対しており、未修正の脆弱性の概念実証コードを公開することは、悪意のある攻撃者の手に渡った場合に「現実世界の結果」をもたらす可能性があると述べています。 ### Microsoftの対応 「私たちは、セキュリティコミュニティが協力してすべての人を保護するのに役立つ多様な視点を歓迎します。私たちは、すべてにおいて常に同意するわけではないことを認識していますが、透明性に取り組み、対話の機会を創造し続けています」と、このテクノロジー大手は付け加えています。 「これらの会話は、研究者感謝イベント、セキュリティカンファレンス、そして私たちが脆弱性を理解し対処するために日常的に行っている活動の中で行われています。」 ### 余波と影響 これらの開示の余波により、先週、**GitHub**は研究者のアカウントを削除したとされています。6つの脆弱性のエクスプロイトコードはその後**GitLab**にアップロードされましたが、[新しく作成されたアカウント](https://gitlab.com/nightmare-eclipse)はその後ブロックされました。 「つまり、私があなたに連絡を取るように積極的に求めたとき、あなたは拒否し、私を辱め、人々の前で私を侮辱したということですね」と、研究者は週末に公開された投稿で述べています。 「あなたは、私がバグを報告するために使用していた**Microsoft**アカウントを削除し、それによって一銭も得ていないにもかかわらず、**CVE-2026-45585**アドバイザリで私を公に中傷しました。それにもかかわらず、私はまだ愚か者のように喜んでそれを実行しました。今、あなたは私の**GitHub**アカウントにフラグを立て、それを公の場から削除するという配慮をしてくれたのですか？あなたは、[sic]積極的にこの対立をエスカレートさせていることを皆に証明していますが、私はもうあなたに懇願するのはやめます。」 研究者はまた、2026年7月14日に「あなたの骨を粉砕するような」何かをリリースするつもりであると述べています。