Microsoftは、協調脆弱性開示の手順を無視してゼロデイ脆弱性を相次いで公開した研究者を非難した。研究者はGitHubアカウント停止などMicrosoftの対応に反発しており、今後さらに脆弱性を公開する可能性を示唆している。両者の対立は利用者のリスクを高める懸念がある。

The Hacker Newsは5月28日(現地時間)、「Microsoft Slams Public Zero-Day Disclosures Amid GitHub Researcher Account Removal」において、Microsoftが「協調脆弱性開示(CVD: Coordinated Vulnerability Disclosure)」の手順に従わずに脆弱性を公開する研究者を非難したと伝えた。

この研究者はChaotic Eclipse(別名Nightmare-Eclipse)と名乗りGitHubで活動していたが、立て続けに手順を無視して脆弱性を公表したことから、同社によりアカウントが停止されたという。

  • Microsoftは協調脆弱性開示の手順を無視した脆弱性公開を非難。研究者はさらなる脆弱性公開を示唆している 出典:OPSWAT

    Microsoftは協調脆弱性開示の手順を無視した脆弱性公開を非難。研究者はさらなる脆弱性公開を示唆している 出典:OPSWAT

協調脆弱性開示を無視した公開のリスク

Microsoftが定義する「協調脆弱性開示」は一般的に「責任ある情報開示」と呼ばれ、脆弱性の悪用を防止する重要な役割がある。国内でも経済産業省がガイドラインを公表し、ルールに則した対応を求めている(参考:「国内における脆弱性関連情報を取り扱う全ての皆様へ – 情報セキュリティ早期警戒パートナーシップガイドラインに則した対応に関するお願い – (METI/経済産業省)」)。

この研究者のように手順を無視して公開した場合、攻撃者は修正パッチが公開されるまでの期間、脆弱性を自由に悪用できることになる。世界的な被害拡大につながる可能性があることから、このような行動はセキュリティ業界で問題視されている。

Microsoftは発表の中で次のように述べ、デジタル犯罪対策班や法執行機関と連携して対応していく姿勢を示した。

「当社のデジタル犯罪対策班は、これらの犯罪者および彼らの犯罪行為を助長する者に対し、訴訟を継続し、必要に応じて世界中の法執行機関と連携していく」

Microsoftへの反発と追加公開予告

Microsoftの主張に対し、研究者は真っ向から対立する意見を述べている。この意見はMicrosoftの発表以前に公開されたもので、名誉を毀損され、報奨も受け取れず、さらにアカウントまで削除されたと述べている。また、「懇願するのはやめた」と述べ、責任ある情報開示に従わずに脆弱性を開示していく方針を表明していた。

研究者は有言実行し、実際に複数の脆弱性が公表され、Microsoftは対応に追われることになった。しかしながら、これで対立は終わりを迎えたわけではないようだ。研究者は「7月14日を覚えておいてください。あなた(Microsoft)の骨を粉々に砕いてみせます」と述べ、これまで以上にリスクの高い脆弱性を公表する可能性を示唆した。

ゼロデイ脆弱性の公開が続けば、世界中の利用者のリスク拡大につながる可能性がある。