Microsoft が 5 月 27 日に「事前共有なしのゼロデイ公表は顧客を危険に晒す」と CVD (協調的脆弱性開示) の徹底を訴える公式ブログを公開した直後、Windows ゼロデイを複数公表していたセキュリティ研究者 Nightmare-Eclipse 氏の GitHub アカウントが停止された。同氏は GitLab に逃れたが、そこでも数日で BAN。Microsoft 傘下のプラットフォームが研究者を「除外」できる構造が浮き彫りになった。
CVD と Full Disclosure、30 年続く綱引き #
CVD は「ベンダに通知 → 修正完了 → 公表」を 90 日前後で回す業界標準で、Google Project Zero や Microsoft MSRC の運用基盤になっている。一方で Full Disclosure (即時公開) は、ベンダがパッチを怠った場合に強制圧力をかける手段として 1990 年代から使われてきた。Nightmare-Eclipse 氏は「報告したのに長期間放置された」と主張しており、もし事実なら CVD の前提 (= ベンダが迅速に修正する) が崩れていたケースになる。
本丸は「誰が情報の出口を握るか」 #
ハッカーコミュニティから見て不気味なのは、Microsoft が CVD 違反と判断した研究者を、自社が買収した GitHub と (連鎖的に) GitLab 経由でリポジトリごと消せるという事実だ。BAN の真の理由 (本当に CVD 違反だけか、業界圧力はあったか) が公開されない以上、これは脆弱性公表の自由に対する萎縮効果として機能する。
「協調」と「沈黙」は外形的に区別がつきにくい。研究者に弁明機会を与えず BAN を執行すると、ベンダに都合の悪い情報を抑え込む仕組みに転化する。
防御側が見ておくべき変化 #
短期的には Windows ゼロデイの公開チャネルが Substack や個人ブログに散らばり、IoC や PoC の追跡コストが上がる。中期的には、研究者は GitHub 以外の自前 git ホスティングや Tor Hidden Service への分散を迫られ、攻撃者側から見れば「探し回るが残る」状態になる。BAN は脆弱性そのものを消さず、可視性だけを下げる — 防御側こそ最も損をする構図だ。
COMMENTS 0
No comments yet — be the first to leave one.