「Windows」主要機能の脆弱性が、事前通告なしに一般公開される事件が起きた。Microsoftが激しく非難する一方で、一部の専門家は「ベンダーの怠慢」を指摘する。企業はどう身を守るべきか。
Microsoft製品に関する6つのゼロデイ脆弱(ぜいじゃく)性を突く概念実証(PoC)コードが公開された。PoCコードは、脆弱性の悪用が可能であることを証明するプログラムだ。このPoCコードは、同社に不満を抱くセキュリティ研究者が、同社に前もって詳細を知らせることなく公開したものだ。同社はこれに対し、顧客を「不必要な危険にさらした」という理由で非難している。
この研究者は、セキュリティコミュニティーでは「Nightmare Eclipse」などのハンドルネームで知られている。悪意ある攻撃者だと見なす声がある一方で、情報を独占する巨大企業からコミュニティーに情報を解放した義賊的な英雄だと捉える向きもある。その動機は、Microsoftに対する個人的な不満だとみられる。
研究者の身元は明らかになっていない。2026年5月23日および26日(米国太平洋夏時間)に「GitHub」や「GitLab」といったソースコード共有サービスからアカウントを凍結、削除された。しかし研究者は、2026年7月14日という日付を挙げ、さらなる情報を公開すると予告して周囲をけん制した。
Microsoftは例年、「協調的な脆弱性の開示」(CVD:Coordinated Vulnerability Disclosure)というプロセスを通じて、広くセキュリティ研究者と協力してきた。これは、善意のハッカーが発見した脆弱性をベンダーと共有し、公開前に問題を修正できるようにするための業界標準の枠組みだ。
CVDは、PoCコードが攻撃者の手に渡る前にパッチ(修正プログラム)を配布できるように設計されている。同時に、セキュリティ研究者への正当な報酬や評価を保証する狙いもある。しかしNightmare Eclipseは、この制度に異議を唱えたのだ。
Nightmare Eclipseが発見した脆弱性は「BlueHammer」などの6つだ。Microsoftによれば、研究者は適切な手順を踏まずにこれらを公開した。実際には、記事公開時点で6つのうち3つ(BlueHammer、「RedSun」「UnDefend」)は2026年4月から5月にかけてすでに修正済みだったが、同社は一部の脆弱性が警告なしで世に放たれたため、事前の準備ができず対処に追われることになったという。
「今回の無責任な公開がもたらした危険に対処するため、影響の把握や顧客の保護、セキュリティ更新プログラムの開発に昼夜を問わず取り組んでいる」とMicrosoftは述べる。加えて、顧客やデジタル社会の秩序を損なうような、適切な連携を伴わない脆弱性公開には断固として反対する姿勢を示す。「未修正の脆弱性を突くPoCコードを攻撃者に渡す行為は決して正当化できず、現実世界に悪影響を及ぼす」と同社は非難する。
Microsoftは多様な意見を歓迎しており、独立した研究者と常に意見が一致するとは限らないと認めた。その上で、透明性を維持し、幅広いコミュニティーとの対話の機会を増やしたいと表明する。
「顧客に影響を与える脆弱性については、迅速に調査し、問題を解決して更新プログラムを公開できるよう全力を尽くす。責任ある研究活動の支援は今後も継続する。過去のやりとりの有無や評判に関係なく、公開ポータルを通じて誰からの脆弱性報告も歓迎する」(Microsoft)
Nightmare Eclipseが公開した6つの脆弱性のうち、2026年5月28日(英国夏時間)時点で4つにCVE(共通脆弱性識別子)が割り当てられた。以下に番号順に示す。
一方、キーボード入力、音声認識、手書き入力などのテキスト入力を支援するWindowsのプロセス「Collaborative Translation Framework」(CTFMON)のEoP脆弱性である「GreenPlasma」には、まだCVE識別子が割り当てられていない。「MiniPlasma」は、クラウドストレージ内のファイルをデバイス内にあるように見せる制御プログラム「Windows Cloud Filter」ドライバーのEoP脆弱性として、2020年12月に修正されたはずの「CVE-2020-17103」が、不完全なパッチなどの理由によって再び悪用可能になっている問題のことだ。
Nightmare Eclipseの行動は、「不適切かつ極めて無責任だ」というのが一般的な見方だ。しかしサイバーセキュリティ業界の関係者は、従来のCVDプロセスが機能しなくなり始めていると指摘する。
マネージドセキュリティサービスプロバイダー(MSSP)のXcapeで最高マーケティング責任者(CMO)を務めるジョン・カーベリー氏は、善意のハッカーと企業向けITベンダーの間で「消耗戦が激化している」と表現する。
「こうした対立は、制度上の破綻を示している」とカーベリー氏は語る。ベンダーのパッチ配布の遅さに、研究者コミュニティーは明らかに不満を募らせているという。
「Microsoftは膨大な開発の負荷に押しつぶされそうになっており、これが遅延の原因になっている。2026年5月だけでも138件のCVEを修正したことがその証拠だ。現在の手詰まり状態は、協調的な脆弱性公開の従来モデルが限界を迎えている証拠だ」(同氏)
「しびれを切らした研究者と手いっぱいのソフトウェアベンダーの板挟みになり、企業のセキュリティチームは身動きが取れなくなっている」(同氏)
セキュリティベンダーSuzu LabsでセキュアAIソリューションおよびサイバーセキュリティ担当シニアディレクターを務めるジェイコブ・クレル氏は、Nightmare Eclipseの不満の理由に一定の理解を示した。「Microsoftが毎年巨額の収益を上げていることを考えれば、研究者が同社製品のセキュリティ強化に無償で貢献することを期待するのは理にかなっていないと同氏は指摘する。
クレル氏はさらにMicrosoftを批判する。複雑な現代のプログラムにおいて欠陥の完全排除は困難であるものの、Microsoft DefenderやBitLockerといったWindowsの主要機能に6つもの弱点が残ったまま出荷された事態を、同氏は「ベンダーの技術的な失敗だ」と厳しく非難する。
「研究者に協力を求めるなら、迅速なトリアージやバグを防ぐ厳格な開発体制にも投資すべきだ」とクレル氏は語る。
クレル氏は、「脆弱性の発見から公開まで、ベンダーに与えられる90日間の猶予期間は、変化が緩やかだった時代の産物だ」とも指摘する。AI技術の進化によって脆弱性の発見ペースが劇的に早まっており、「90日もあれば、攻撃者が最新のAIモデルを使ってその製品の未修正のソースコードを解析し、自力で弱点を見つけ出せてしまう」と同氏は話す。
2026年1〜5月の5カ月間だけで、Microsoftが500件を超えるCVEを修正したという事実に対して、クレル氏は「IT業界全体の製品セキュリティが市場の想定よりも弱いことの表れだ」と警告する。
企業向け主要IT製品の脆弱性を突くPoCコードが一般に公開されると、すでにシステムに侵入している攻撃者に管理者権限を奪われたり、物理的な接触によって保護設定を解除されたりするなど、深刻な被害の糸口を与える結果を招く。Nightmare Eclipseが公開したゼロデイ脆弱性は、既に攻撃に悪用されていることが確認されており、セキュリティ担当者は警戒を怠ってはならない。
「セキュリティ責任者は、ベンダーのパッチが品質保証と展開のプロセスを経てゆっくりと届くのを待っている余裕はない」とカーベリー氏は警告する。
予告なしの脆弱性公開を直ちに対処すべき事態として扱い、積極的な被害軽減体制を社内に確立しなければならない。カーベリー氏は、「GitHubなどのリポジトリに情報が出回った瞬間に、一時的な回避策やEDR(Endpoint Detection and Response)の特化型検出ルールを適用すべきだ」と助言する。
Copyright © ITmedia, Inc. All Rights Reserved.
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
