不満を抱いたセキュリティ研究者が、リリース前にレドモンドに詳細を共有せずに自社製品の6つのゼロデイ脆弱性に対する概念実証ハッキングを公開したことに対し、Microsoftは顧客を「不必要なリスク」にさらしているとして反撃した。
この研究者は、一部の人には悪意のある人物とみなされ、また別の人にはロビンフッドのようなサイバーヒーローとみなされ、その他の関連する側面の中でもナイトメア・エクリプスとしてコミュニティに知られているが、その動機はマイクロソフトに対する個人的な不満にあるようだ。
彼らの身元は公表されていないが、Computer Weekly は、ここ数日間で彼らが GitHub および GitLab コード リポジトリから禁止されたことを理解している。彼らはさらなる暴露を脅し、視聴者に日記に7月14日を記すよう指示した。
Microsoft は毎年、調整された脆弱性開示 (CVD) を通じて数百人のセキュリティ研究者と協力していると述べました。CVD は業界標準のベスト プラクティス システムであり、倫理的ハッカーが調査結果をベンダーと共有して問題が暴露される前に対処できるようにするものです。
理論的には、必ずしもそうとは限りませんが、このプロセスは、概念実証コードが脅威アクターの手に渡る前にパッチを確実に発行できるようにすること、そして研究者に公正な補償と承認を与えることを目的としていますが、これについては Nightmare Eclipse が異論を唱えています。
しかし、Microsoftは、BlueHammer、GreenPlasma、MiniPlasma、RedSun、UnDefend、YellowKeyとして知られるNightmare Eclipseによって暴露された脆弱性は、責任を持って公開されず、過去数週間に何の警告もなく世界に公開されたため、チームは準備が整わず、追いつくために慌てていると述べた。
Microsoftは「こうした情報開示によって生じる不必要なリスクに対応し、当社のセキュリティチームは影響を理解し、顧客を保護し、セキュリティアップデートを開発するために24時間体制で取り組んでいる」と述べた。
「私たちは、こうした行為、そして当社の顧客やデジタルエコシステムに損害を与える可能性のある、適切な調整を離れたいかなる開示にも断固として反対します。悪意のある者によるパッチが適用されていない脆弱性の概念実証コードを導入するような調整されていない開示は決して正当化されず、現実世界に影響を及ぼします。」
Microsoftは、多様な視点を取り入れており、すべてにおいて独立した研究者と必ずしも同意できるわけではないことを認めながらも、「透明性を重視」しており、より広範なコミュニティとの対話の機会を今後も作り続けたいと述べた。
Microsoftは、「当社のチームは、顧客に影響を与える脆弱性を迅速に調査し、対処し、アップデートをリリースするためにできる限りのことを行うため、引き続き責任ある研究をサポートしていきます。当社は、過去のやり取りや評判に関係なく、公開研究者ポータルを通じて誰からでも脆弱性に関する提出を常に受け入れており、今後も歓迎するつもりです。」と述べた。
脆弱性管理
5 月 28 日の時点で、Nightmare Eclipse によってリリースされた 6 つの欠陥のうち 4 つには、共通の脆弱性と露出 (CVE) 指定が割り当てられています。これらは番号順に次のとおりです。
- CVE-2026-33825 (BlueHammer とも呼ばれる) は、Windows Defender の特権昇格 (EoP) の脆弱性で、通常のユーザー レベルのアクセス権を持つ攻撃者がシステム レベルの特権に昇格することを可能にします。Microsoft はこの欠陥を他の 2 人の研究者によるものだとしていることに注意してください。
- CVE-2026-41091 (RedSun とも呼ばれる) は、システム レベルの実行権限も許可する Windows Defender の追加の EoP 欠陥です。
- CVE-2026-45498 (UnDefend とも呼ばれる) は、制御されていないリソース消費の問題に起因する Windows Defender のサービス拒否 (DoS) 脆弱性で、昇格されたアクセスを持つ攻撃者が Defender の操作を妨害することで検出を回避できるようになります。
- CVE-2026-45585 (YellowKey とも呼ばれる) は、Windows BitLocker のセキュリティ機能バイパス (SFB) の脆弱性であり、ターゲット システムに物理的にアクセスできる攻撃者が、特定の BitLocker 構成で保護されているドライブ上のデータにアクセスできる可能性があります。
一方、Windows BitLocker の EoP 脆弱性である GreenPlasma にはまだ CVE 指定が割り当てられていませんが、MiniPlasma は、以前にパッチが適用された Windows クラウド フィルター ドライバーの EoP 欠陥である CVE-2020-17103 を回避します。
変わりゆく世界
Nightmare Eclipse の行為は非常に不適切で無責任であるということで一般に同意されていますが、サイバー コミュニティの多くのメンバーは、従来の CVD プロセスが崩壊し始めていると指摘しています。
John Carberry は、ロサンゼルスのマネージド セキュリティ サービス プロバイダー (MSSP) である Xcape のマーケティングおよびソリューション開発担当副社長です。同氏は、倫理的なハッカーとエンタープライズベンダーの間の「消耗戦の激化」について説明した。
「この軋轢は、より深刻なシステム崩壊を示している。明らかに、セキュリティ研究コミュニティはベンダーのテストスケジュールに不満を募らせているが、マイクロソフトが既にエンジニアリング作業負荷に溺れていることから、このボトルネックは重大になっており、これは今月だけで138-CVEという驚異的なパッチサイクルがあったことからも明らかだ」とカーベリー氏は述べた。
同氏はさらに、「現在の対立は、組織的に脆弱性を開示するという従来のモデルが自重で崩壊しつつあることを示しており、企業のセキュリティチームは、せっかちな研究者と過大な負担を抱えたソフトウェアベンダーの間の銃撃戦に巻き込まれたままになっている」と付け加えた。
珠洲研究所のセキュア AI ソリューションおよびサイバーセキュリティ担当シニア ディレクターであるジェイコブ カール氏は、CVD は共通の責任であると述べ、Nightmare Eclipse の苦情の背後にある理由の一部を特定するところまで述べました。同氏は、マイクロソフトが毎年数千億ドルを稼いでいることを考えると、研究者が自社製品のセキュリティに無料で補助金を出すことを期待するのは不合理であると指摘した。
同氏はまた、より直接的にMicrosoftを批判し、「製品版に達したDefenderやBitLockerを含むWindowsのコアコンポーネントに存在する6つの脆弱性は、ベンダーによるエンジニアリング上の欠陥を表している。これらの欠陥は決して出荷されるべきではなかった。コンプライアンスを求めるベンダーは、対応テストとそれを防ぐための開発の厳密さにも投資しなければならない」と述べた。
カール氏は付け加えた。「従来の90日間の禁輸措置は、より遅い世界を想定して設計されたものだ。AIは脆弱性発見のタイムラインを大幅に圧縮したため、まったく新しいフロントエンドモデルをデプロイし、同じコードベースを指すには90日あれば十分な時間だ。Microsoftは2026年の最初の5か月だけで500以上のCVEにパッチを適用した。」
「この量は、エコシステム全体の製品セキュリティの状態が市場が想定しているよりも弱いことを示している」と同氏は警告した。
次のステップ
誰かが企業の中核的な IT 製品の脆弱性を突く有効なエクスプロイト コードを直接一般に公開することを選択すると、事実上、インターネット全体に企業ネットワークへの即時の未検証のアクセスを与えることになります。 Nightmare Eclipse によって公開されたゼロデイは積極的に悪用されていることが知られているため、セキュリティ リーダーは注意する必要があります。
Xcape の Carberry 氏は、「セキュリティ管理者は、ベンダーのパッチが QA や導入パイプラインをゆっくりと通過していくのを待つわけにはいきません」と述べています。
「企業は、相関性のない検出を即座のアクティブなイベントとして扱う、内部の積極的な軽減機能を確立する必要があります。これにより、GitHub に欠陥が発生した瞬間、将来のパッチ火曜日に公式の自動パッチが到着するずっと前に、一時的な構成回避策と非常に特殊な EDR 検出ルールを導入する必要があります。」
