Windowsのゼロデイ脆弱性を次々と公開してきたセキュリティ研究者Nightmare‑Eclipse(Chaotic Eclipse)氏が、MicrosoftによってGitHubアカウントを停止されました。理由は明かされていないものの、同氏は「Microsoftに人生を壊された」と強く反発しており、両者の関係は完全に決裂している模様です(Tom's Hardware)。同氏はGitHubからGitLabへ移行していますが、Microsoftアカウントも削除されたと主張してます。研究者の主張:未払いのバグバウンティと無視された報告Eclipse氏はブログで、Microsoftがゼロデイ報告に応じず、バグバウンティも支払われなかったと訴えています。MSRCのバウンティは最大25万ドルに達することもあり、研究者にとっては大きな収入源ですが、Eclipse氏は「1円も受け取っていない」と述べ、Microsoftが報告を無視しただけでなく、個人的に「人生を壊す」と言われたとまで主張しています。文章の内容は感情的でMicrosoftへの強い不信と怒りが感じられるものとなっています。さらに、7月14日に「何かが起きる」と示唆しており、追加のゼロデイ公開をほのめかしている点も注目を集めています。Eclipse氏が公開したゼロデイの内容と影響Eclipse氏はこれまでに複数のWindowsゼロデイを公開してきました。代表的なものは以下の通りです。BlueHammer/RedSun: Windows Defenderを経由してSYSTEM権限を奪取UnDefend: Defenderを無効化GreenPlasma/MiniPlasma: CTFMonやCloud Filter Driverの欠陥を悪用しSYSTEM権限を取得YellowKey: BitLockerをほぼ無力化し、暗号化ドライブを簡単に開けてしまう脆弱性BlueHammer、RedSun、UnDefendは実際に悪用されていることが確認されており、他の脆弱性も悪用される可能性が高いと見られています。専門家の見解:MSRC の品質低下が背景に?この問題の背景には、MSRCの対応品質が低下している可能性があるとセキュリティ専門家のWilliam Dormann氏は分析しています。熟練スタッフの削除によって形式的な対応しかできなくなったことから、報告者に脆弱性の動画提出を求めるなど手続きが煩雑化し、正当な報告がクローズされるケースが増えている可能性があるとの見方です。GitHubのアカウントの停止もMicrosoftにとって悪手と見る声が多くなっています。コードはすでに公開されており、アカウントを消しても脆弱性は消えないからです。AI による脆弱性発見が加速する現代、従来の「90日ルール」などの公開ポリシーが時代遅れになりつつあり、企業側の対応スピードが追いついていないことも、今回の対立をより複雑にしています。まとめ:透明性の欠如が生んだ深刻な不信今回の騒動は、セキュリティ研究者とIT企業の信頼関係が崩れたとき、何が起きるのかを象徴する出来事となっています。セキュリティ業界全体が、報告プロセスやバウンティ制度のあり方を見直す必要があるのかもしれません。