マイクロソフトとセキュリティ研究者との公開対立は、脆弱性開示ルールについてサイバーセキュリティ業界で再議論を促している。論点は、研究者がマイクロソフトが修正を完了する前に複数の脆弱性と攻撃コードを公開した点であり、マイクロソフトはこの行為が攻撃者を助ける可能性があるとして、法的・執行機関を通じて責任を追及すると警告している。
マイクロソフトが公開開示を批判
マイクロソフトは水曜日にブログ投稿を発表し、ネットユーザー名「Nightmare Eclipse」の研究者が、BlueHammer、RedSun UnDefend、YellowKeyを含む複数の脆弱性を公開したことを批判した。これらの問題は、Windowsに組み込まれたウイルス対策エンジンDefenderやディスク暗号化ツールBitLockerなどの製品に関係している。
マイクロソフトは、研究者が通常のチャネルを通じて脆弱性を報告せず、修正のための時間を確保しなかったと述べています。マイクロソフトは、このような修正前の公開披露が実際の攻撃のリスクを高めると考えています。また、マイクロソフトは、これらの脆弱性の一部が後にハッカーによって実際の攻撃に使用されたことも示唆しており、米国のサイバーセキュリティ機関CISAも同様の状況に言及しています。
マイクロソフトは刑事送致が反発を招いたと述べた
マイクロソフトはブログ記事で、そのデジタル犯罪部門が関係者および「その犯罪活動を支援する者」に対して訴訟を継続し、必要に応じて世界中の法執行機関と調整すると述べた。外界では、この表現が研究者に対する法的脅威と広く解釈されている。
Nightmare Eclipseは、過去数週間のブログで、マイクロソフトと接触したが、不当な扱いを受けたと述べた。その中には、マイクロソフトが自身のマイクロソフトセキュリティ応答センターのアカウント権限を削除したことが含まれる。このアカウントは、脆弱性報告をマイクロソフトに提出するために使用されていた。研究者は、コミュニケーションチャネルが遮断されたため、脆弱性を公開することを決定したと示唆した。
公開情報によると、これらの脆弱性情報はGitHubとGitLabに投稿され、関連アカウントはその後ブロックされました。GitHubは現在マイクロソフトが所有しています。
セキュリティサークルは寒蝉効果を懸念している
この騒動はすぐにセキュリティ研究コミュニティの不満を引き起こした。議論の核心は新しくない:独立研究者が脆弱性を発見した後、メーカーが修正を完了するまで待つべきかどうか、そしてメーカーが適切に対処しなかった場合、研究者がどの程度の責任を負うべきか。
脆弱性報奨金と調整された開示メカニズムは、本来このような矛盾を緩和するために構築されました。現在、大半の大手テクノロジー企業は、脆弱性を秘密裏に報告した研究者に報奨金を支払い、脆弱性が修正された後に詳細を公開するよう調整しています。
マイクロソフトで脆弱性報奨制度を推進したLuta Securityの創設者であるケイティ・ムスーリスは、TechCrunchに対して、マイクロソフトが再び「責任ある開示」といった表現を使用することは、責任を研究者側に一方的に押し付けることになりやすく、さらにデジタル犯罪部門に言及することで、研究者のマイクロソフトに対する信頼をさらに損なう可能性があると述べた。
彼女は、研究者がマイクロソフトに脆弱性を報告する意欲を失えば、最終的に多くのセキュリティ問題が公開の目から隠され、全体的なリスクが逆に上昇すると警告した。元マイクロソフト従業員で現在のセキュリティ研究者であるケビン・ボーモントも、マイクロソフトの対応を公開で批判し、同社が脆弱性の悪用コードを「犯罪活動」と直接結びつけるのは、自らの対応ミスによって引き起こされた広報および信頼の危機であると述べた。