## Microsoft、ゼロデイ開示に声明を発表 **Microsoft**は、匿名の研究者Nightmare Eclipseによる複数の**Windows**ゼロデイ脆弱性の公開に対し、公に非難しました。同社は、このような非協調的な開示は「決して正当化できない」と述べ、サイバー犯罪を可能にする者に対する潜在的な法的措置を示唆しました。 ### ゼロデイの公開 Nightmare Eclipseは4月以降、**GitHub**上で動作する概念実証コードとともに脆弱性を公開し始め、攻撃者とセキュリティ専門家の両方が容易に入手できるようにしました。その後、研究者の**GitHub**アカウントは削除され、ブログもオフラインになったようです。 **Microsoft**のアドバイザリによると、公開された脆弱性のうち、**BlueHammer**（**CVE-2026-33825**）、**UnDefend**（**CVE-2026-45498**）、**RedSun**（**CVE-2026-41091**）は、実際の侵入で悪用されています。これらの脆弱性は、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（**CISA**）の既知の悪用脆弱性カタログにも記載されています。さらに最近公開された**YellowKey**（**CVE-2026-45585**）、GreenPlasma、MiniPlasmaの3つについては、現在パッチがなく、悪用も確認されていません。 ### 研究者の動機 匿名を保っている研究者は、**Microsoft**に対する不満を表明し、同社が自身の**Microsoft Security Response Center**アカウントを削除し、バウンティ支払いを保留し、少なくとも1つのアドバイザリから帰属を削除したと主張しています。研究者は、「これで莫大な利益を得ることもできたが、**Microsoft**に対する私の決意と、それを妨げるいかなる金額も存在しない」と述べています。 研究者はまた、**Microsoft**のパッチチューズデーと重なる7月14日に、さらなる公開を行うと脅迫しています。 ### Microsoftの対応 **Microsoft**はブログ投稿で、「私たちは、お客様やデジタルエコシステムに損害を与える可能性のある、適切な調整外の開示行為、およびそのすべてに断固として反対します。パッチが適用されていない脆弱性の概念実証コードを悪意のある攻撃者の手に渡す非協調的な開示は、決して正当化できず、現実世界に影響を与えます」と述べています。 同社はさらに、「当社のデジタル犯罪部門は、これらの関係者および彼らの犯罪活動を可能にする者に対する訴訟を継続し、必要に応じて世界中の法執行機関と連携していきます」と付け加えています。 ### 業界の懸念 研究者の具体的な不満は未検証ですが、他のセキュリティ専門家も**Microsoft**の脆弱性への対応について同様の懸念を表明しています。**Trend Micro**のZero Day Initiativeは、実際に悪用されている脆弱性を報告した後、**Microsoft**からの認識不足を理由に2024年に公に批判しました。 **Tenable**の当時のCEOは、**Azure**の脆弱性について、開示から数ヶ月経ってもパッチが適用されず、顧客が情報を知らされないままだったと**Microsoft**を非難する投稿を公開しました。また、**Check Point**の研究者も、自身が報告したバグを**Microsoft**が通知なしにパッチ適用したと報告しています。 Luta Securityの創設者であり、**Microsoft**の当初のバグバウンティプログラムの設計者である**Katie Moussouris**氏は、ゼロデイの公開は理想的ではないとしつつも、「非開示ははるかに悪い…研究者を非開示に向かわせるものは何か？ベンダーからの脅威だ」と指摘しています。 **Microsoft**は、過去のやり取りや評判に関わらず、公開されている研究者ポータルを通じて脆弱性の提出を歓迎すると主張しています。