Microsoft、ゼロデイ脆弱性を公表した匿名セキュリティ研究者を「訴追しない」と方針転換-6月にもゼロデイ脆弱性公開 示唆

セキュリティニュース

投稿日時: 更新日時:

Microsoft、ゼロデイ脆弱性を公表した匿名セキュリティ研究者を「訴追しない」と方針転換

2026年6月1日、Microsoft Security Response Center(MSRC)は公式X(旧Twitter)アカウントで「セキュリティ研究を実施・公開する個人に対して法的措置を取る意図はない」と声明を発表し、5月28日のブログ投稿が引き起こした研究者コミュニティとの全面対立から一転、事実上の後退を表明しました。最大のリスクはこの紛争の背景にあります。

匿名研究者「Nightmare Eclipse」は2026年4月から5月中旬にかけて、Windows Defender・BitLockerを含む主要Windowsコンポーネントに対するゼロデイエクスプロイトを6件、Microsoftへの事前通知なしに公開し、そのうち3件はCISA(米サイバーセキュリティ・インフラセキュリティ庁)が実際の攻撃への悪用を確認しています。Microsoftが「訴追も辞さない」と受け取られた5月28日の声明に対して、バグバウンティプログラムの創設者やベテラン研究者たちが一斉に批判の声を上げ、セキュリティコミュニティ全体が「研究者を萎縮させる危険な先例」として強く反発しました。

Nightmare Eclipseは6月中に新たなSecure Boot脆弱性(BitLocker完全バイパスを含む)を公開すると予告しており、7月14日にも大規模な情報開示を予告しています。

本記事では6件のゼロデイの詳細・Microsoft対コミュニティの対立経緯・方針転換の意味・情報システム担当者が今取るべき対応を解説します。

サマリー

  • 2026年4月〜5月中旬、匿名研究者「Nightmare Eclipse」がBlueHammer(CVE-2026-33825)・RedSun(CVE-2026-41091)・UnDefend(CVE-2026-45498)・YellowKey(CVE-2026-45585)・GreenPlasma(CVE未アサイン)・MiniPlasma(CVE未アサイン)の6件のWindowsゼロデイをMicrosoftへの事前通知なしに公開
  • うちBlueHammer・RedSun・UnDefendの3件がCISAによって実際の攻撃での悪用を確認。RedSun・UnDefendは2026年5月21日にアウトオブバンド緊急パッチが公開済み。YellowKey(CVE-2026-45585)はBitLockerバイパスを可能にするが、現時点で完全修正なし・緩和策のみ
  • GreenPlasmaはCTFMON(Collaborative Translation Framework)フレームワーク経由の権限昇格でCVE未アサイン。MiniPlasmaは2020年に修正済みとされた脆弱性(CVE-2020-17103)が最新パッチ済みWin11でも悪用可能であることを示したもので、CVEは新規付与なし
  • Nightmare EclipseはMSRCポータルのアクセス削除・バグバウンティの不払い・アドバイザリからのクレジット削除という、Microsoft側の不正対応を動機として主張
  • 2026年5月28日、MicrosoftのMSRCブログが開示を「決して正当化できない」と断じ、Digital Crimes Unitが関係者を「引き続き訴追する」と警告。研究者コミュニティから「研究活動を萎縮させる」と猛烈な批判を受けた
  • Katie Moussouris(Microsoftバグバウンティ創設者)が声明内の「responsible disclosure」という表現を「意図的に非難的」と批判。Kevin Beaumont(元Microsoft社員)も訴追路線を「逆効果」と指摘
  • 2026年6月1日、MicrosoftはX上で方針を転換。研究者への法的措置を否定し、「協調的脆弱性開示(CVD)」への回帰を表明。ただしNightmare Eclipseの具体的な申し立てには回答せず
  • Nightmare Eclipseは6月中に新たなSecure Boot脆弱性(BitLocker完全バイパス)を公開予定。7月14日にも大規模開示を予告しており、未パッチのWindowsシステムへのリスクが継続

Nightmare Eclipseとは何者か—MSRCとの軋轢と6週間・6件のゼロデイ公開の経緯

「Nightmare Eclipse」は「Chaotic Eclipse」「Dead Eclipse」「Eclipse」とも名乗る匿名の研究者です。一部の投稿内容は元Microsoft社員である可能性を示していますが、身元は確認されていません。

Nightmare Eclipseが公表した開示の動機は明確です。Microsoftが自分のMSRCポータルへのアクセスを予告なく削除した、正当なバグレポートを無視された、バグバウンティの支払いを拒否された、少なくとも1件のセキュリティアドバイザリから自分のクレジット(発見者名)が削除された——これらをMicrosoft側の不正対応として糾弾し、「協調的開示のチャンネルを事実上閉鎖された以上、独自に公開するしかない」という論理を展開しました。


公開されたゼロデイ脆弱性6件の全容

2026年4月から5月にかけて公開された6件の脆弱性の詳細は以下のとおりです。

CVE番号が付与されているのは4件のみで、GreenPlasmaとMiniPlasmaは現時点でCVEが未アサインです。

コードネーム CVE 脆弱性タイプ 主な標的・影響範囲 パッチ状況 野放し悪用確認
BlueHammer CVE-2026-33825 LPE(Defenderを攻撃ツール化) Microsoft Defender / Windows全般 4月Patch Tuesdayで修正済み ✅ 4/10〜
RedSun CVE-2026-41091 LPE(Defender経由でSYSTEM昇格) Microsoft Defender / Windows全般 5/21 OOBパッチ公開済み ✅ 4/16〜
UnDefend CVE-2026-45498 Defender機能無効化・DoS(定義更新ブロック) Microsoft Defender / Windows全般 5/21 OOBパッチ公開済み ✅ 4/16〜
YellowKey CVE-2026-45585 BitLockerバイパス(物理アクセス・WinRE経由) Windows 11・Server 2022/2025のみ 完全修正なし・緩和策のみ
GreenPlasma CVE未アサイン LPE(CTFMONフレームワーク経由) Windows CTFMON / Win11・Server 2022/2026 未パッチ(PoC未完成)
MiniPlasma CVE未アサイン(CVE-2020-17103に関連) LPE(Cloud Filesドライバ cldflt.sys) 最新パッチ済みWin11でもSYSTEM昇格可能 未パッチ(6/10 Patch Tuesdayで対応予定)

各脆弱性の技術的詳細

各脆弱性の技術的詳細は以下のとおりです。

BlueHammer(CVE-2026-33825

BlueHammer(CVE-2026-33825)はMicrosoft Defenderを逆用してローカル権限をSYSTEMまで昇格させる脆弱性です。攻撃者はDefenderを「攻撃ツール」として機能させることができます。4月Patch Tuesdayで修正済みで、CISAのKEVカタログにも追加されています。Huntressの調査では4月10日から実際の攻撃での悪用が確認されています。

RedSun(CVE-2026-41091)

RedSun(CVE-2026-41091)はCVSSスコア7.8の権限昇格脆弱性です。CISAのKEVカタログの説明では「リンクフォロー(link following)によって、ローカルの攻撃者がSYSTEM権限に権限昇格できる」とされています。Microsoftは当初CVEを付与せず静かに修正していましたが、その後CVE-2026-41091を正式アサインし、5月21日にアウトオブバンド緊急パッチを公開しました。

UnDefend(CVE-2026-45498)

UnDefend(CVE-2026-45498)はCVSSスコア4.0のWindows Defenderを標的にしたDoS(サービス妨害)脆弱性です。Defenderのセキュリティ定義更新をブロックし、新しい脅威に対する検知・保護能力を徐々に低下させます。4月16日から実際の攻撃で悪用が確認されており、5月21日のOOBパッチで修正されています。当サイトの関連記事がこの2件のパッチとYellowKeyの緩和策を詳報しています。

YellowKey(CVE-2026-45585)

YellowKey(CVE-2026-45585)はWindows回復環境(WinRE)に潜むBitLockerバイパス脆弱性です。攻撃者は細工したUSBデバイスをターゲットPCに挿入し、WinREへの再起動を強制して特定のキーを入力するだけで、TPMのみで保護されたBitLocker暗号化ドライブに平文でアクセスできます。専用のハードウェアや痕跡を残さないため、デバイス盗難・入国審査・内部不正など幅広い実環境で悪用できます。Windows 10は影響なし、Windows 11とServer 2022/2025のみが対象です。現時点でMicrosoftは完全な修正を提供しておらず、BitLcoker起動時PINとBIOS/UEFIパスワードの設定という緩和策のみが案内されています。

GreenPlasma(CVE未アサイン)

GreenPlasma(CVE未アサイン)はWindowsのCTFMON(Collaborative Translation Framework)フレームワークを悪用した権限昇格脆弱性で、Windows 11およびServer 2022/2026が対象です。ただし、公開されたPoCはまだ未完成の状態であり、実行時に同意ダイアログ(UAC)が表示されてしまい、完全な権限昇格が自動完結しないという制約があります。Barracudaの分析では「将来的に完全武器化されればバックアップのSYSTEM昇格経路になる」と位置付けられています。

MiniPlasma(CVE未アサイン)

MiniPlasma(CVE未アサイン)はWindowsのCloud Filesフィルタドライバ(cldflt.sys)に存在する権限昇格脆弱性です。これはMicrosoftが2020年12月に修正したとされるCVE-2020-17103と実質的に同じ脆弱性が、2026年5月時点の最新パッチ済みWindows 11でも依然として悪用可能であることをNightmare Eclipseが示したものです。ThreatLockerが独立テストで確認しており、一般ユーザー権限からSYSTEM権限への昇格がPowerShellスクリプトで容易に実行できます。2020年の修正が不完全だったのか、それとも異なるコードパスを経由しているのかについてMicrosoftは公式に回答していません。


3件がCISAによる実悪用確認——efenderの無力化が攻撃チェーンに組み込まれた

、BlueHammer・RedSun・UnDefendの3件の実際の攻撃での悪用が、CISAおよびHuntressによって確認されています。

Huntressの調査によれば、攻撃者はBlueHammerを4月10日から使用し始め、4月16日にはRedSunとUnDefendのPoCへと移行しています。これは公開された順序に忠実に追随した動きであり、Nightmare Eclipseのコードが攻撃プレイブックの直接的なソースになっていることをほぼ確実に示します。

Barracudaが分析したこの攻撃チェーンは組織的です。BlueHammer・RedSun・MiniPlasmaが「昇格」フェーズ(SYSTEMへの権限昇格)を担い、UnDefendが「盲目化」フェーズ(Defenderを無力化してその後の活動を検出不能にする)として機能します。YellowKeyは「アクセス」フェーズ(物理アクセスを得てBitLocker保護を突破)として、GreenPlasmaは将来の「永続化」経路として位置付けられます。


MicrosoftのMSRC声明と「responsible disclosure」という言葉が引き起こした連鎖反応

2026年5月28日、MicrosoftはMSRCの公式ブログに声明を投稿しました。声明はNightmare Eclipseを名指しせずに、非協調的な開示を「決して正当化できない(never justifiable)」と断じ、Digital Crimes Unit(民事訴訟・刑事告発・法執行機関との連携を担当する部門)が「このような行為者およびその犯罪行為を可能にする者を引き続き訴追し続ける」と警告しました。

gbhackers.comの報道によれば、声明内では「responsible disclosure(責任ある開示)」という表現が4回使われていました。この表現が研究者コミュニティにとって特に問題視された点です。

Microsoftは2010年に「responsible disclosure」という用語を廃止し、「Coordinated Vulnerability Disclosure(CVD:協調的脆弱性開示)」という中立的な表現を採用することを公式に決定していました。その理由は、「responsible disclosure」という表現が「それに従わない研究者は無責任だ」という含意を持つためです。その廃止を実際に推進した人物が、当時Microsoft社員だったKatie Moussouris(現在はハッカーポリシーコンサルタント)その人でした。2010年に廃止した言葉が、2026年のMSRC公式声明に4回も復活したことは、意図的なメッセージとして受け取られました。

コミュニティの反発—Katie Moussouris・Kevin Beaumont・業界の総批判

研究者コミュニティの反応は即座かつ激烈でした。

Katie Moussourisはブルースカイ上で声明内の「responsible disclosure」の使用を「loaded(意図的に攻撃的な表現)」と批判し、5月28日の声明全体を「over the top(度を越している)」と評しました。彼女はMicrosoftのバグバウンティプログラムを設計した当事者であり、その言葉の重みは格別です。

Kevin Beaumont(著名なセキュリティ研究者、元Microsoft社員)は、Microsoftの対応が「非協調的な開示を犯罪化するのは逆効果だ」と指摘しました。脆弱性は訴追によって消えるわけではなく、萎縮効果が正当な研究活動に及ぶことを懸念しました。

TrustedSecのJason Lang氏は「MSRCへの提出については惨憺たる話しか聞いたことがないので、この結果は驚くべきことでもない。個人的にはこの投稿を笑ってしまった」と公言しました。

多くの研究者がNightmare Eclipseのグリーバンス(不満)——MSRCによるアカウント削除・バウンティの不払い・クレジットの削除に対して公開の場で共感を示しました。「ベンダーが自分に都合のいいときだけ『responsible disclosure』を掲げる」という批判は、業界全体で長年燻り続けていた不満の噴出でもありました。

また、GitHubとGitLab(MicrosoftはGitHubを子会社として保有)がNightmare Eclipseのアカウントを停止したことも、研究者コミュニティの不信感を高めました。

Microsoftの6月1日の方針転換——「訴追しない」と「CVD」への言葉の変化

研究者コミュニティからの激しい反発を受けて、Microsoftは6月1日に新たな声明を発表しました。この声明は公式ブログではなくX(旧Twitter)の@msftsecresponseアカウント経由で発信されたことが注目されます。

声明の核心は「セキュリティ研究を実施・公開する個人に対して法的措置を取る意図はない」という明確な否定です。ただし「個人が法を犯し、顧客に実害をもたらす悪意ある活動を行った場合は、適切に法執行機関と連携する」という留保が付されています。

Microsoftは「一部のやり取りが十分でなかった(some interactions have fallen short)」ことを認め、「学び続けていく」と述べました。また、AIを活用した研究の普及によってレポートの数量と複雑さが急増しているという現実も率直に認めています。

The Recordの分析が特筆する最も重要な変化が、用語の転換です。

5月28日の声明で4回使われた「responsible disclosure」という表現が6月1日の声明では完全に姿を消し、代わりに「Coordinated Vulnerability Disclosure(CVD)」という2010年採用の中立的な表現が使われました。この言葉の入れ替えは、Katie Moussourisの批判への直接的な応答であり、Microsoftが少なくとも言語的な次元では一歩引いたことを示しています。

ただし声明はNightmare Eclipseの具体的な申し立て(アカウント削除・バウンティ不払い・クレジット削除)には直接的に回答しておらず、研究者コミュニティの「言葉ではなく具体的な行動を示せ」という要求は満たされていません。

未解決の問題と7月14日の新たな開示予告

Microsoftの方針転換声明を受けてもなお、本件には重要な未解決事項が残っています。

まずNightmare Eclipse自身の動きです。

Nightmare EclipseはMicrosoftとの対立を受けて、他の研究者が直接自分に脆弱性を提供するようになったとブログで述べています。

そして6月中にSecure Bootの新たな脆弱性を公開すると予告しており、この脆弱性は「BitLockerを完全にバイパスし、機密仮想マシン(Confidential VM)の侵害にも使用できる可能性がある」とされています。また、7月14日には「重大な開示」を予告していた経緯も残っており、未パッチのWindowsシステムへのリスクは継続します。

構造的な問題としては、MSRCへの脆弱性報告体験の不透明性・バグバウンティの支払い判断の恣意性・大規模ベンダーと個人研究者の力の非対称性という課題が今回の事件によって可視化されました。Microsoftが「脆弱性開示の基盤となる研究者との関係は重要かつ時に脆弱だ」と認めた以上、言葉を具体的な制度改善に落とし込むことが求められています。


情報システム担当者が取るべき対応

最優先:確認済み悪用CVEへの即時パッチ適用

CISAのKEVカタログに追加されたCVE-2026-41091(RedSun)とCVE-2026-45498(UnDefend)についてはパッチ適用が義務的です。Windowsのエンドポイントにおける当該CVEへの対応状況を今すぐ確認してください。Microsoftは2026年5月21日にアウトオブバンド(OOB)緊急パッチを公開しており、RedSunとUnDefendについてMicrosoft Defender Antimalwareプラットフォームの更新(バージョン1.1.26040.8以降および4.18.26040.7以降)で対処しています。各CVEの緊急パッチ・YellowKeyの緩和策の詳細は当サイトの関連記事「RedSun(CVE-2026-41091)・UnDefend(CVE-2026-45498)緊急パッチ公開・YellowKey(CVE-2026-45585)は緩和策のみ」を参照してください。自動更新が有効な環境では適用済みの可能性がありますが、手動確認が推奨されます。

YellowKey(CVE-2026-45585)への緩和策適用

完全パッチがない現状では、BitLocker起動時PINの設定とBIOS/UEFIパスワードの設定が推奨される緩和策です。これにより攻撃の難易度は上がりますが、根本的な修正ではありません。物理アクセスリスクが高い環境(モバイルPCを持ち出す従業員など)では特に優先的に対応してください。

GreenPlasma・MiniPlasmaへの対策

GreenPlasmaはPoC未完成のため即時リスクは限定的ですが、6月10日のPatch TuesdayでMiniPlasmaへの対応が見込まれます。MiniPlasmaについては、ThreatLockerが最新パッチ済みWin11での悪用を確認しているため、パッチ公開後は速やかに適用してください。検出ルールとしてThreatLockerコミュニティポリシー「TL.REG.1747 – Mini Plasma Reg Key Created」が公開されています。

7月14日の予告開示への準備

Nightmare Eclipseは7月14日に追加の大規模開示を予告しています。Patch Tuesday(毎月第2火曜日)の適用状況を最新に保つとともに、脅威インテリジェンスフィードでのCVE動向モニタリング体制を強化してください。


FAQ

Q. 6件のゼロデイのうちCVE番号があるのは4件だけですか? A. はい、2026年6月1日時点でCVEが正式にアサインされているのはBlueHammer(CVE-2026-33825)・RedSun(CVE-2026-41091)・UnDefend(CVE-2026-45498)・YellowKey(CVE-2026-45585)の4件です。GreenPlasmaはPoCが未完成のため、MiniPlasmaは2020年に修正済みとされた脆弱性の再浮上であり新規CVEが未付与のためです。MiniPlasmaに関連するCVE-2020-17103はあくまで関連する古いCVEで、今回の新たな開示に対応するCVEではありません。

Q. MiniPlasmaはなぜ「完全修正済みのはずの脆弱性」が再浮上したのですか? A. Nightmare Eclipseによれば、CVE-2020-17103(Cloud Filesフィルタドライバcldflt.sys)は2020年12月に修正されたとされていますが、2026年5月時点の最新パッチ済みWindows 11でも同じコードパスを経由してSYSTEM昇格が可能であることを確認しました。修正が不完全だったのか、あるいは異なるコードパスを通じて同様の効果が得られるのかについて、Microsoftは公式見解を示していません。

Q. GreenPlasmaはBitLockerバイパスではないのですか? A. GreenPlasmaはBitLockerバイパスではなく、WindowsのCTFMON(Collaborative Translation Framework)フレームワーク経由の権限昇格脆弱性です。BitLockerバイパスはYellowKey(CVE-2026-45585)の説明です。YellowKeyはWinRE(Windows回復環境)経由でBitLocker保護を回避するもので、GreenPlasmaとは別の攻撃ベクターです。

Q. Nightmare Eclipseの行為は法的に問題があるのですか? A. 「未協調の脆弱性開示(uncoordinated disclosure)」それ自体の違法性については各国の法制度によって解釈が異なり、米国においても確立した判例はありません。Microsoftが当初示唆した「訴追」は6月1日の声明で明確に撤回されました。ただし、悪意ある第三者の攻撃を助けることになるPoC(概念実証コード)の公開は倫理的な問題として研究者コミュニティ内でも議論されており、法的問題とは切り離して考えるべき側面があります。

Q. CVD(協調的脆弱性開示)と「responsible disclosure(責任ある開示)」は何が違うのですか? A. どちらも「ベンダーにパッチを作成する時間を与えてから脆弱性を公開する」という同じ実践を指しますが、含意が異なります。「responsible disclosure」は「このプロセスに従わない研究者は無責任だ」という価値判断を内包し、研究者を萎縮させる力があります。Microsoftは2010年にこの問題を認識し、中立的な「CVD」という用語を採用しました。今回の声明でこの転換が改めて確認されたことは、研究者コミュニティとの関係において重要な意味を持ちます。

Q. 自組織のWindowsシステムで今回の脆弱性への対応状況をどう確認しますか? A. Microsoft Defender for EndpointまたはMicrosoft Intune等のエンドポイント管理ツールで、CVE-2026-41091・CVE-2026-45498・CVE-2026-33825・CVE-2026-45585の各パッチ適用状況を確認してください。パッチが未適用の端末がある場合、即時対応が必要です。GreenPlasmaとMiniPlasmaについては正式なCVE番号がまだアサインされていないため、MSRCのセキュリティアドバイザリを定期的にモニタリングしてください。


参考情報