Microsoftのセキュリティ体制と、その脆弱性対応窓口であるMSRC(Microsoft Security Response Center)の不誠実な実態に焦点を当てた内容である。近年、GitHubに代わるプラットフォームを探す動きが急増している背景には、Microsoftに対する不信感がある。特に「Nightmare Eclipse」と名乗る正体不明の人物が、同社への個人的な復讐として驚異的なペースでゼロデイ脆弱性を公開し続けている事態は極めて深刻である。しかし、この背景には、長年にわたりセキュリティ研究者の成果を横取りし、報奨金の支払いや適切な評価を拒んできたMicrosoft側の不適切な慣習があることが、多くの研究者の証言から浮き彫りとなっている。
GitHubからの脱出と謎の美少女アイコン
私が制作するMicrosoftに関する動画の多くは、重箱の隅をつつくような指摘だったり、状況を茶化したりするものが多いことは自覚しています。ですが、まずこのグラフを見てください。ほぼゼロの状態から始まり、この1年で爆発的に伸びていますよね。これは何だと思いますか。実はこれ、GitHubの代替サービスに関するGoogleトレンドの推移なんです。普段ならここで「GitHubなんて最低だよね」なんて冗談を言って笑い飛ばすところですが、今回は少し様子が違います。
次に、この画像を見てください。はい、アニメの美少女キャラですね。一部の人は興奮しているかもしれませんが、落ち着いてください。これは決して楽しい話題ではありません。この画像は、Microsoftにとっては恐怖が凝縮されたような存在です。皆さんがこれを見て何を感じるかは別として、Microsoftにとってはここ数年で最も恐ろしい画像なのです。
もし皆さんがネットにどっぷり浸かっているタイプではなく、私が唯一の情報源だというのであれば、こう思うでしょう。「このアニメキャラのどこがそんなに怖いの?」と。ですが、アニメアイコンの人物がネットに現れた時に何が起きるか、私たちは経験上知っていますよね。次に語られる内容が、人生で聞いたこともないような途方もないバカげた話か、あるいは人生で見たこともないような超天才エンジニアによる仕業か、そのどちらかです。
今回は後者、つまり「超天才」の方でした。
復讐のハッカー「Nightmare Eclipse」
今、Microsoftが直面しているのは「Nightmare Eclipse(ナイトメア・エクリプス)」というアカウントによる悪夢です。6週間で6つのゼロデイ脆弱性を公開し、そこには強い怨念が込められています。この人物は、過去6週間にわたって週に一度のペースで、極めて壊滅的な影響を及ぼすゼロデイ脆弱性を放流し続けています。
その結果、彼らはGitHubから追放され、つい先ほどGitLabからも追放されました。巨大なゼロデイを次々と公開することで、次々とプラットフォームを奪われている状態です。これを聞いて、皆さんも私と同じように感じるかもしれません。「ゼロデイを公開するなんて、それは悪いことじゃないのか?」と。私はセキュリティの専門家ではないので詳しいことは言えませんが、ごく普通の家庭のパソコンがハッキングされたり、資産が盗まれたりする可能性があるものを公開するのは、確かによろしくないことのように思えます。
しかし、この物語を深く知り、Microsoftという会社の実態を学んでいくと、皆さんも少し驚くはずです。そして、もしかしたら「これは単なる嫌がらせとは話が違うぞ」と思うようになるかもしれません。
謎の正体と不穏な告発
Nightmare Eclipse(別名:Dead Eclipse、Chaotic Eclipse、あるいは単にEclipse)は、2026年4月初旬からWindowsのゼロデイ脆弱性を6つも公開している攻撃者です。多くの研究者は、これをMicrosoftに対するエスカレートした報復キャンペーンだと評しています。
Eclipseは、従来の脅威インテリジェンスのカテゴリーには当てはまりません。金銭目的でもなければ、社会的な主張や地政学的な目的があるようにも見えません。一言で言えば、純粋な混沌です。ただゲームを愛するように、その行為自体を楽しんでいるかのようです。正体は、個人的な復讐心に駆られた一人のセキュリティ研究者であると見られており、彼が放り出した危険なエクスプロイトは、すでに他の攻撃者によって実際の攻撃に使用されています。たとえ単独犯で、既存のコミュニティの外で活動しているとしても、防御側や研究者は他の脅威アクターと同様に深刻に受け止めるべき存在です。
公開されたエクスプロイトには「Blue Hammer」「Red Sun」「Undefend」「Yellow Key」「Green Plasma」「Mini Plasma」といった名前が付けられており、そのうちのいくつかは修正パッチが当たっていません。この正体については不明ですが、関係者の間では、Microsoftの元従業員ではないかと囁かれています。
Nightmare Eclipseは、Microsoft Security Response Center(MSRC)の職員から直接脅迫を受けたと主張しています。「彼らから個人的に『お前の人生を台無しにしてやる』と言われ、実際にそうされた」と語っているのです。これが、私たちが現時点で把握している状況です。
MSRCが抱える根深い不誠実さ
個人的な恨みがあるとはいえ、検証コードをそのまま世に放つのは、誰かが被害を受ける可能性がある以上、やはり感心できることではありません。しかし、MSRCという組織について調べていくうちに、皆さんも知っておくべき事実が見えてきました。
ある研究者の事例を紹介しましょう。彼はコンテキストメニューの中に10年間も放置されていたコマンドインジェクションの脆弱性を発見しました。致命的ではないものの、悪用可能なものです。しかしMSRCは報奨金を支払わず、CVE(共通脆弱性識別子)の割り当ても拒否しました。「即時のセキュリティアップデートを必要とする基準を満たしていない」というのが理由です。ところが、そのわずか1か月後、Windows 11のカナリ版でこっそり修正されていたのです。つまり、手柄だけを横取りし、大したことではないと嘘をついて支払いを踏み倒したわけです。
別の研究者の話も似ています。彼は防御機能のバイパス手法を報告しました。以前、報告が長引いた教訓から、今回は90日間の公開期限を設定しました。MSRCは「基準を満たしているため修正する」と回答しましたが、「修正に数か月かかるので、公開をあと90日待ってほしい」と頼んできました。研究者はCVEの発行を条件に承諾しました。しかし、数か月後のパッチ火曜日になってもCVEリストに名前はありません。問い合わせると、MSRCは「やはり基準に達していないと判断した。でも修正はした。基準外なのでCVEは出さない」と回答したのです。静かにさせるために嘘をついて数か月間引き延ばし、約束を破ったということです。
似たような話は枚挙にいとまがありません。レガシーな技術の脆弱性を報告しても「基準外」と言われ、5か月後にサイレント修正されてケースを閉じられたという例もあります。
組織的な怠慢と隠蔽の歴史
これらは単なる偶然ではなく、明確なパターンです。MSRCは、セキュリティ研究者たちに対して極めて不誠実な対応を続けています。彼らの仕事を無視するか、あるいは成果を盗んで黙って修正し、適切な評価を与えない。こうした行為が、セキュリティ研究の世界全体の意欲を著しく削いできました。
しかも、これは最近始まったことではありません。2023年8月の段階で、ロン・ワイデン上院議員は司法省や連邦取引委員会に対し、Microsoftの怠慢なサイバーセキュリティ慣習について責任を問うよう求める手紙を送っています。Googleの「Project Zero」のデータによれば、2014年以降に発見された全ゼロデイ脆弱性のうち、実に42.5%がMicrosoft製品に関するものでした。
これほど長年にわたり、彼らは怠慢であり続けてきたのです。政府も介入し始め、人々は完全に愛想を尽かしています。Nightmare Eclipseに何があったのか、その全貌は分かりませんが、私たちが想像する以上に深い裏話があるのは間違いありません。
Microsoftの回答と「正義」の行方
これに対し、Microsoftはどう反応したでしょうか。彼らは「脆弱性の協調的な公開を通じて顧客を守ることは共通の責任である」という声明を出しました。つまり「我々に従って報告しなければ、相応の報いがあるぞ」と言っているわけです。
彼らも当然、Eclipseによる脆弱性公開は認識しています。しかし声明の最後には、こう記されています。「我々のデジタル犯罪ユニットは、これらのアクターや犯罪行為を支援する者たちを、世界中の法執行機関と協力して追及し続ける」と。
要するに、責任ある開示をしなければ、司法の力を使って叩き潰すという脅しです。自分たちは人々の貢献をないがしろにし、手柄を奪い、金も払わず、不誠実な対応を繰り返しておきながら、「自分たちに都合の悪いやり方をする奴は悪であり、牢屋に入れるべき犯罪者だ」と主張しているのです。
私はこの分野に関しては素人です。ハッキングの仕方も知りません。かつて偶然とんでもない脆弱性を見つけたことはありますが、それはあくまで運が良かっただけです。本格的なセキュリティ研究などしたこともありません。ですが、この件に関して多くのDMを受け取る中で確信したのは、Microsoftが10年以上にわたって研究者たちを不当に扱ってきたということです。信頼できる筋からの話も含め、その悪評は凄まじいものがあります。
今回この動画を作ったのは、彼らのやり方があまりにも不公平だと感じたからです。そして、この実態を多くの人が知らないままなのは良くないと思ったからです。この組織がいかに問題を抱えているかを皆さんに伝えることこそ、私なりの「責任ある開示」だと思っています。これは単なるゲームへの愛ゆえの行動です。
コメント