研究者が未修正の脆弱性とエクスプロイトコードを公開、Microsoftが法的措置を示唆
公表を巡る論争で批判を浴びるMicrosoft
Microsoftは、自社製品の一連の未修正脆弱性と概念実証(PoC)用のエクスプロイトコードを公開したセキュリティ研究者に対し、法的措置や捜査当局の関与を検討すると警告したことで批判に直面している。
同社は水曜日に公開したブログ記事で、ハンドル名「Nightmare Eclipse」を名乗る研究者がWindows DefenderやBitLockerなどに影響を与えるとされるバグの詳細を公開したと非難した。Microsoftは、その情報が公開される前に修正がなされていなかったため、今回の開示は「責任ある」ものではないと述べた。
同社の対応は、セキュリティ研究者が主要なソフトウェアプラットフォームの脆弱性をどのように扱うべきかという長年の議論に再び火をつけた。特に、その欠陥がMicrosoftのような資源を持つ企業の広く使われているツールに影響する場合はなおさらである。
Microsoftと米国のサイバーセキュリティ機関CISAによれば、Nightmare Eclipseが開示した脆弱性の一部は、その後ハッカーによって実際の攻撃に利用されたという。また、同社はDigital Crimes Unitが、捜査当局との連携を含め、犯罪行為に寄与したと判断される者に対して引き続き対応を行うと述べた。
Nightmare Eclipseは過去数週間にわたる一連のブログ投稿で、Microsoftと連絡を取っていたと主張し、同社に不当な扱いを受けたと述べている。研究者は、脆弱性報告に使われるポータルであるMicrosoft Security Response CenterのアカウントへのアクセスをMicrosoftが取り消したと主張した。それにより、研究者は公開以外に選択肢が残されていなかったと示唆している。
その後、脆弱性はオープンソースのリポジトリに掲載され、どのように悪用できるかを示すためのコードが添えられていた。パッチが適用されないまま公開されたことで、これらの問題はゼロデイ(公開や悪用時点でソフトウェア開発者が知らなかった脆弱性)になった。
Microsoftの批判は、研究者はまず非公開でバグを報告すべきだったという主張に集約される。一方、研究者側はブログ投稿で、Microsoftの対応が責任ある開示へ向かう実効的な道を残さなかったと述べている。この論争はMicrosoftのセキュリティ対応プロセスに注目を集めるとともに、公益のための研究と攻撃者を助ける行為との境界がどこにあるのかという新たな疑問を投げかけている。
出典:
プライベートに閲覧するなら Doppler VPN — ログなし、ワンタップで接続。