世界を動かす技術を、日本語で。

GitHubがゼロデイWindowsエクスプロイトを公開したセキュリティ研究者を禁止

2026年5月29日原文(tomshardware.com)

概要

  • Windowsセキュリティ分野で Nightmare-Eclipse とMicrosoft間の対立が激化
  • Eclipseの GitHubアカウントが削除 され、 GitLabへ移行
  • Microsoftは バグ報告やバウンティ支払い に関して無反応との主張
  • 複数の ゼロデイ脆弱性 公開でセキュリティ界に波紋
  • MSRCの対応品質低下 や企業のポリシー見直しが議論の的

Nightmare-EclipseとMicrosoftの対立

  • Nightmare-Eclipse(Chaotic Eclipse) によるMicrosoftへのバグ報告活動

    • Microsoftによる GitHubアカウント削除 措置
    • 理由は 未公表、Eclipseは GitLabに移行
    • Microsoftアカウントも 削除された と主張
  • Eclipseの ブログ投稿 による主張

    • Microsoftが 連絡を拒否 し、 バグバウンティ未払い
    • MSRCプログラム の報酬に言及(最大$250,000)
    • Eclipseは 6件のゼロデイ公開実績
    • 7月14日 に更なるゼロデイ公開を予告
  • 4月以降の BlueHammerゼロデイ 無警告公開が発端

    • ブログでMicrosoftやMSRCへの 激しい批判
    • バグ報告の無視・バウンティ未払いが 金銭的被害 につながったと主張
    • 人生を壊す」と脅されたとの発言や デッドマンスイッチ の示唆

業界の反応とMSRCの現状

  • TharrosのWilliam Dormann による見解

    • 以前は MSRCの対応が優秀 だったが、 人員削減 で品質低下
    • 脆弱性報告時のビデオ提出 が新たな要件になった可能性
    • 報告者が要件を満たさず ケースがクローズ された可能性
  • Microsoft側は沈黙 を保つ

    • 研究者の 開示ルール違反 か、企業側の 対応問題 かは不明
    • GitHubアカウント削除 は逆効果・批判の的
  • AI活用によるセキュリティ研究の進化

    • 従来の90日開示ルールの形骸化
    • 攻撃までの時間短縮未利用脆弱性の減少
    • Microsoftやソフトウェア企業の ポリシー見直し の必要性

Nightmare-Eclipseの技術的実績

  • 公開した主なゼロデイ脆弱性

    • BlueHammer :Windows Defender経由でSYSTEM権限取得
    • RedSun :同じくSYSTEM権限取得
    • UnDefend :Defenderを無効化
    • GreenPlasma :CTFMonサービス経由でSYSTEM権限取得
    • MiniPlasma :Cloud Filterドライバの脆弱性
    • YellowKey :BitLockerの暗号化ドライブを容易に開く
  • BlueHammer, RedSun, UnDefend実際に悪用が確認

    • PoCコードの公開 で利用が容易になった現状

セキュリティ業界への示唆

  • 企業の透明性・対応力 の再考

    • 研究者と企業間の信頼関係 の重要性
    • 情報公開とバウンティ支払い の明確化
    • GitHub等のアカウント削除 が逆効果となるリスク
  • 今後の展開 への注目

    • 7月14日のゼロデイ公開予告
    • Microsoftの対応方針 の変化

出典 :Tom's Hardware記事、Bruno Ferreira執筆

Hackerたちの意見

彼らはGitLabに移ることを強いられているみたいだね。 https://gitlab.com/nightmare-eclipse ブロックされたユーザー @nightmare-eclipse 彼らもGitLabでバンされてるっぽい?

MSがドメインに対してSmartScreenのブラックホールで脅したんじゃないかと思う。だから彼らが引き下がったのも不思議じゃない。

彼が投稿したとされるもののコピーはあるの?誰かが画期的な脆弱性を2つの別々のGitサイトに投稿して、誰もそれをクローンしなかったなんて信じられないな。それに、.govの陰謀論を主張してる人たちが、公開ホストされた「ブロックユーザー」ページで終わるのが面白いと思う。404エラーとかにならないのかな。

研究者、ちょっとおかしい感じがするな。

それは低レベルのセキュリティホールを探す仕事に関連してるかもね。

バグバウンティで生活費を稼ぐのは、ちょっと狂ってるよね。

正気でいることは彼の仕事じゃない。

これって、最も専門的な研究者に多い傾向がある気がする。みんなちょっと変わってるし。SandboxEscaperのこと覚えてる?今は亡くなってると思うけど、彼らはWindowsのゼロデイを次々と出してた。あの人はかなりのキャラクターだったよ。ここで誰かの逆鱗に触れずに説明するのは難しいけど、知ってる人は知ってるよね。

ああ、「彼女は何を着てたの?」ってコメントね。

メッセンジャーを撃つってやつだね。それで解決するの?

マイクロソフトはこれを後悔するんじゃないかな。あの人、ゼロデイを見つけても報酬なしで、逆にバンされるなんて。結局、他でゼロデイを売ることになるよ。

ゼロデイを見つける他の人たちのことも忘れちゃいけない。評判はすごく大事だよね。

Hacker Newsで議論の続きを見る