セキュリティ研究者がマイクロソフト製品の未修正バグをエクスプロイトコード付きで公開したところ、同社は修正ではなく警察に通報すると脅した。マイクロソフトの曖昧な法的脅迫は、セキュリティ研究者が自社ソフトウェアを修正する気のない兆ドル企業に何か義務を負うのかという長年の議論を再燃させた。
水曜日、マイクロソフトは「Nightmare Eclipse」という研究者を非難するブログ記事を公開した。同研究者はBlueHammer、RedSun UnDefend、YellowKeyといった名前の一連のバグを公開したが、これはセキュリティ上の欠陥というより、却下されたパワーレンジャーの悪役のように聞こえる。これらの欠陥は、Windows標準搭載のアンチウイルスエンジンDefenderやディスク暗号化ツールBitLockerなどの製品に影響を与えた。
マイクロソフトの主な不満は、研究者がバグを非公開で報告しなかったため、同社が先に修正できなかったことだ。マイクロソフトによれば、それが「責任ある」行動だったはずだ。同社はまた、パッチが利用可能になる前にエクスプロイトの詳細を公開することで、悪意のあるハッカーを助けた可能性があると主張している。実際、マイクロソフトと米サイバーセキュリティ庁CISAの両方によると、一部の脆弱性はその後実際の攻撃に使用されている。
「当社のデジタル犯罪対策ユニットは、これらの行為者およびその犯罪活動を助長する者に対して訴訟を起こし続け、必要に応じて世界中の法執行機関と連携します」とマイクロソフトは書いた。デジタル犯罪対策ユニットの使命は、そのウェブサイトによると、「民事訴訟、技術的対策、刑事告発、官民パートナーシップ」を含む。つまり、基本的には、誰かに意地悪をされたからパパに電話するという企業版だ。
過去数週間に公開された一連のブログで、Nightmare Eclipseはマイクロソフトと連絡を取っていたが、不当な扱いを受けたと主張している。例えば、マイクロソフト・セキュリティ・レスポンス・センターのアカウントを剥奪されたという。彼らの示唆するところは、脆弱性を公に公開せざるを得ず、事実上ゼロデイ(開示時に影響を受けるソフトウェアメーカーが知らないセキュリティ上の欠陥)にしたということだ。
研究者はバグをGitHubとGitLabに公開したが、両プラットフォームでアカウントは停止された。Nightmare Eclipseもマイクロソフトもコメントの要請に応じなかった。
この公開騒動は、依然として物議を醸す議論を再燃させる。独立したセキュリティ研究者は、発見した脆弱性が確実に修正されるようにする義務があるのか?そして、脆弱な製品を製造する企業が実際に修正するようにするために、どこまで努力すべきなのか?
この議論の一部は決着している。研究者は報酬を得るべきだという点だ。2009年のキャンペーン「No More Free Bugs」に一部描かれているように、何年もの闘いを経て、約20年後、ほとんどの企業は非公開の開示に対して6桁以上のバグ報奨金を支払っている。
今回の論争を受けて、数え切れないほどの研究者がマイクロソフトにバグを報告した際の悪い経験を共有している。セキュリティコミュニティは声高に不満を表明している。これには、Luta Securityの創業者Katie Moussourisも含まれる。彼女は2000年代半ばから後半にかけてマイクロソフトで働きながら、バグ報奨金を先駆け、同社に「責任ある開示」ではなく「協調的な開示」を採用するよう説得した。
「『責任ある』開示という言葉を持ち出したのは、私の本では最初の攻撃でした」とMoussourisはTechCrunchに語った。「[デジタル犯罪対策ユニット]に言及して起訴の脅しを加えるのは行き過ぎで、セキュリティ研究者がマイクロソフトを信用しなくなるだけです。」彼女は、研究者の信頼を失うことで冷却効果が生じ、「私たち全員にとって安全性が低下する」と警告した。
セキュリティ研究者で元マイクロソフト社員のKevin Beaumontも同社を非難し、その立場を「自ら招いたゴミ箱火災」と表現した。「ゼロデイの概念実証エクスプロイトの作成と配布が『犯罪行為』になったのか?」とBeaumontは書いた。「責任ある開示は…」