Microsoft、立て続けのゼロデイ脆弱性公表を非難。発見者は7月に報復と予告

　Microsoftは5月27日、YellowKeyやBlueHammerなど直近数カ月間で公開されたゼロデイ脆弱性について、協調的脆弱性開示(Coordinated Vulnerability Disclosure、CVD)に基づく情報開示が行なわれなかったとして、その対応を非難した。

　協調的脆弱性開示は、セキュリティ研究者などが脆弱性を発見した際に、対象製品を開発する企業や開発者に対して事前に通知することで、公表前に開発者側が対応を図れるようにする取り組み。攻撃者が脆弱性を悪用できる機会を減らせるほか、報告した研究者に対して報酬が支払われるケースもある。

　今回Microsoftでは、直近数カ月で公開されたRedSun、UnDefend、BlueHammer、YellowKey、GreenPlasma、MiniPlasmaと呼ばれる脆弱性について、協調的脆弱性開示に基づく対応が行なわれなかったと説明。これは、パッチ未適用の脆弱性の概念実証コードを攻撃者に渡すような行為であり、決して正当化されるものではなく、深刻な結果をもたらしうるとし、断固として反対する姿勢を示した。

　その上で、同社はセキュリティパッチの開発を進めているほか、世界中の法執行機関とも連携しながら攻撃者などに対して法的措置を講じていくと説明。加えて、透明性を重視しつつセキュリティコミュニティとも対話を続けていくとし、これまで通りポータルサイトから脆弱性報告を受け付けるとしている。

　Microsoftが今回名前を挙げた脆弱性は、いずれもNightmare-Eclipse氏が報告したもの。Microsoftでは、YellowKeyの脆弱性に対する緩和策を公開した際に、協調的脆弱性開示の慣習に沿っていない行為だとしてNightmare-Eclipse氏を非難。これに対しNightmare-Eclipse氏は自身のブログで、この声明が自身への誹謗中傷だと述べ、以前のMicrosoftの対応に不満があったことを明かしていた。

　その後、Nightmare-Eclipse氏のGitHubアカウントは停止され、現在は閲覧できない状態となっている。なお、同氏は5月23日の投稿で、7月14日に何らかの報復を行なうと予告している。