ハクソク

世界を動かす技術を、日本語で。

GitHubがゼロデイWindowsエクスプロイトを公開したセキュリティ研究者を禁止

1日前原文(tomshardware.com)

概要

  • Windowsセキュリティ分野で Nightmare-Eclipse とMicrosoft間の対立が激化
  • Eclipseの GitHubアカウントが削除 され、 GitLabへ移行
  • Microsoftは バグ報告やバウンティ支払い に関して無反応との主張
  • 複数の ゼロデイ脆弱性 公開でセキュリティ界に波紋
  • MSRCの対応品質低下 や企業のポリシー見直しが議論の的

Nightmare-EclipseとMicrosoftの対立

  • Nightmare-Eclipse(Chaotic Eclipse) によるMicrosoftへのバグ報告活動

    • Microsoftによる GitHubアカウント削除 措置
    • 理由は 未公表、Eclipseは GitLabに移行
    • Microsoftアカウントも 削除された と主張

  • Eclipseの ブログ投稿 による主張

    • Microsoftが 連絡を拒否 し、 バグバウンティ未払い
    • MSRCプログラム の報酬に言及(最大$250,000)
    • Eclipseは 6件のゼロデイ公開実績
    • 7月14日 に更なるゼロデイ公開を予告

  • 4月以降の BlueHammerゼロデイ 無警告公開が発端

    • ブログでMicrosoftやMSRCへの 激しい批判
    • バグ報告の無視・バウンティ未払いが 金銭的被害 につながったと主張
    • 人生を壊す」と脅されたとの発言や デッドマンスイッチ の示唆

業界の反応とMSRCの現状

  • TharrosのWilliam Dormann による見解

    • 以前は MSRCの対応が優秀 だったが、 人員削減 で品質低下
    • 脆弱性報告時のビデオ提出 が新たな要件になった可能性
    • 報告者が要件を満たさず ケースがクローズ された可能性

  • Microsoft側は沈黙 を保つ

    • 研究者の 開示ルール違反 か、企業側の 対応問題 かは不明
    • GitHubアカウント削除 は逆効果・批判の的

  • AI活用によるセキュリティ研究の進化

    • 従来の90日開示ルールの形骸化
    • 攻撃までの時間短縮未利用脆弱性の減少
    • Microsoftやソフトウェア企業の ポリシー見直し の必要性

Nightmare-Eclipseの技術的実績

  • 公開した主なゼロデイ脆弱性

    • BlueHammer :Windows Defender経由でSYSTEM権限取得
    • RedSun :同じくSYSTEM権限取得
    • UnDefend :Defenderを無効化
    • GreenPlasma :CTFMonサービス経由でSYSTEM権限取得
    • MiniPlasma :Cloud Filterドライバの脆弱性
    • YellowKey :BitLockerの暗号化ドライブを容易に開く

  • BlueHammer, RedSun, UnDefend実際に悪用が確認

    • PoCコードの公開 で利用が容易になった現状

セキュリティ業界への示唆

  • 企業の透明性・対応力 の再考

    • 研究者と企業間の信頼関係 の重要性
    • 情報公開とバウンティ支払い の明確化
    • GitHub等のアカウント削除 が逆効果となるリスク

  • 今後の展開 への注目

    • 7月14日のゼロデイ公開予告
    • Microsoftの対応方針 の変化

出典 :Tom's Hardware記事、Bruno Ferreira執筆

Hackerたちの意見

彼らはGitLabに移ることを強いられているみたいだね。 https://gitlab.com/nightmare-eclipse ブロックされたユーザー @nightmare-eclipse 彼らもGitLabでバンされてるっぽい?

MSがドメインに対してSmartScreenのブラックホールで脅したんじゃないかと思う。だから彼らが引き下がったのも不思議じゃない。

彼が投稿したとされるもののコピーはあるの?誰かが画期的な脆弱性を2つの別々のGitサイトに投稿して、誰もそれをクローンしなかったなんて信じられないな。それに、.govの陰謀論を主張してる人たちが、公開ホストされた「ブロックユーザー」ページで終わるのが面白いと思う。404エラーとかにならないのかな。

研究者、ちょっとおかしい感じがするな。

それは低レベルのセキュリティホールを探す仕事に関連してるかもね。

バグバウンティで生活費を稼ぐのは、ちょっと狂ってるよね。

正気でいることは彼の仕事じゃない。

これって、最も専門的な研究者に多い傾向がある気がする。みんなちょっと変わってるし。SandboxEscaperのこと覚えてる?今は亡くなってると思うけど、彼らはWindowsのゼロデイを次々と出してた。あの人はかなりのキャラクターだったよ。ここで誰かの逆鱗に触れずに説明するのは難しいけど、知ってる人は知ってるよね。

ああ、「彼女は何を着てたの?」ってコメントね。

メッセンジャーを撃つってやつだね。それで解決するの?

マイクロソフトはこれを後悔するんじゃないかな。あの人、ゼロデイを見つけても報酬なしで、逆にバンされるなんて。結局、他でゼロデイを売ることになるよ。

ゼロデイを見つける他の人たちのことも忘れちゃいけない。評判はすごく大事だよね。

でも、話は彼がゼロデイの脆弱性を投稿したことについてで、売ったわけじゃないんだよね。それがタイトルにも書いてあるし。彼はGitlabからも禁止されたけど、これはMicrosoftとは全く関係ないことだよ。

マイクロソフトにとって見た目は良くないけど、彼らの事情はわからないからね。

それはあんまり関係ないよね。誰かのGitHubアカウントを禁止しても、何も変わらないし、Microsoftがオープンソースプラットフォームの管理者として信頼できないっていう証拠がまた一つ増えたって感じ。

最近の話だけど、サティア・ナデラがマイクロソフトのコードの30%がAIによって書かれているって言ってたよ。 https://www.cnbc.com/2025/04/29/satya-nadella-says-as-much-a...

「最近」って言っても、もう1年前の話だよね。今は95%くらいになってるんじゃない?

他の人の言ったことをまとめるときに、無駄な侮辱を挟むのは良くない方向に行ってると思うよ。

もし「たくさんの平凡なコードを早く書く」アプローチでAIを使ってるなら、これはセキュリティの悪夢だよ。

Microsoftからこの件について何か公に言われてることある?なんでMicrosoftとGitlabの両方がそのユーザーを禁止したの?両方のプラットフォームは、すべてが明確に表示されていれば、エクスプロイトやセキュリティリサーチをホスティングすることを許可してると思ってたんだけど、何かルールを破ったのかな?

フルディスク暗号化のエクスプロイトで、ハードウェアアクセスが必要なら、3文字の政府機関向けに作られたんじゃないかな。

その欠陥は、政府の指示で意図的にバックドアが設置されたという噂がある。禁止も誰かの命令だったかもしれないね。

この研究者のバックストーリーは何なの?Microsoftに対して個人的な恨みがあるみたいで、AIの助けを借りて見つけたゼロデイをリリースしてるってこと?バウンティハンターのゴールドラッシュは終わったみたいで、今は誰がハードウェアやトークン資本にアクセスできるかが重要になってる感じ。

研究者自身の発言によると、ゼロデイはAIでは見つからなかったらしい。正直、これがマイクロソフトが一番怒ってる部分だと思う。というのも、私が関わった社内のパートナーとの会話では、すべての高度な攻撃がAIから来ているから、セキュリティコパイロットを買う必要があるって話ばかりだったんだ。AI以前に脆弱性が存在したって言うと、営業の人たちが会話を続けるのが気まずそうに見える。

彼らはマイクロソフトに対して個人的な恨みを持っているようだ。多分、マイクロソフトの独占的で消費者に対して不利なビジネス戦略で、より良い選択肢が潰されたせいでMS-DOSを使わざるを得なかったからだろう… ちょっと投影してるかも。

彼らが怒っているのは、大量の高価値なエクスプロイトを作ってMSに送ったのに、ひどい扱いを受けて、マイクロソフトが自分たちの公表したバウンティを認めなかったからみたいだね。> でもお金を節約するために、マイクロソフトはスキルのある人たちを解雇して、フローチャートに従うだけの人たちを残した。報告者がエクスプロイトのビデオを提出するのを拒否した後、マイクロソフトがケースを閉じたとしても驚かないよ。もし私があなたのシステムを何年も学んで、あなたのスタックの複数のレベルで壊滅的なゼロデイをラッピングして渡したのに、返ってきたのがフローチャートのテクニカルサポートと「ウェブカメラを買え」っていうおまけだったら、私もかなり怒ると思う。これらのバウンティは(実際に悪用されているから)中規模の六桁に達するし、どうやら追加のものも控えているみたい。バグバウンティはすでに搾取的で、バグを書く人には見つける人の10倍の報酬を支払っていて、見つけるのは一般的にずっと難しい。公式なチャネルを通じて問題が報告されたときに支払いを拒否するのは、不専門的でずるい行為だよね。この研究者が本当に恨みを持っていたら、残りのゼロデイを最高入札者に売るだろうね。

知能の産業化を目の当たりにしてるね。

マイクロソフトはGitHubからゼロデイを削除するための編集責任を自ら作ったのかな?もし私のソフトウェアにゼロデイがGitHubに載ったら、マイクロソフトもそのアカウントを消しちゃうの?

この行動を取ることが、他のアカウントに対して将来の行動を取る責任にどんな影響があるの?

ここで何が起こっているのか全くわからないけど、主要なバグバウンティプログラムの第一のルールは、ベンダー側の関係者はみんな報酬を支払うように積極的にインセンティブが与えられているってこと。多くの場合、内部の指標が支払いに依存している人たちもいるし、報酬はこれらのプログラムでは祝うべきことなんだ。マイクロソフトは、バウンティの請求者を裏切ってお金を節約しようとしているわけではほぼ確実だと思う。小さな会社には当てはまらないかもしれないけど(だから小さな会社はバグバウンティプログラムを運営すべきじゃない)、FAANGやMAG7規模の会社には確実に当てはまる。これが、バウンティプログラムが支払いを優先するわけでもないし、あなたをイライラさせるような決定をしないわけでもないって意味ではないけど、少なくとも彼らが報酬を意地悪で withholding しているという主張には反するよね。

確認のために言うけど、バグバウンティのトリアージで働いてた時、支払いに対する消極的な態度を見たことはなかったよ。最悪だったのは、企業側が「Xから離れてください」って研究者にお願いして、その指示を無視した研究者には高額な報酬を出してたこと。だって、リスクが高いってことが証明されたからね!逆に、ある大きなプログラムは、昔に研究者が普通のXSSの脆弱性を使って高額報酬の効果を生み出せるって主張したせいで、何度も不適切な高額報酬を出してた。彼はXSSを見つけるたびに、その効果を生み出す証明を含めてたから、他の研究者はリストに載ってるXSSの報酬しかもらえなかった。† 実際、思い出せるのは一度だけ。誰かが聖杯を手に入れて、企業のサーバーにウェブシェルをインストールしたんだけど、現在のガイドラインだと1万ドル以上の価値があったはず。でも、彼らはウェブシェルをアンインストールしなかった。報告書を提出してそのままにしておいたんだ。これがプログラムの責任者を激怒させて、報酬を出したくないってコメントしてたのを覚えてる。最終的に報酬が支払われたかどうかは覚えてないな。

すべては、官僚主義がレポーターにビデオ映像を提供させられなかった時に、ブルーハンマーを考慮しようともしなかったことから始まった。さらに、官僚主義を直すよりもアカウントを禁止するっていうのは、本当に悪い印象だよね。MSが君から疑いの余地を得てる理由がよくわからない。

禁止後に賢いなら、彼をたくさんのお金で雇うべきだよね。企業は緊張してるけど、バカじゃなければちゃんと支払うはず。マイクロソフトだし、こういうことに関してはあんまり進んでないかもしれないから、彼らが気づいてるかどうかは分からないけど。