マイクロソフトが研究者への法的措置を示唆も一転、「意図はない」と表明した理由

研究者は、マイクロソフトの脆弱性対応に対する長年の不満を公にしていた。Nightmare Eclipseは、過去に公式チャネルを通じて報告した内容が無視されたり、不適切に扱われたりした上、Hyper-Vの脆弱性に対する報奨金（最大25万ドルとされる）の支払いが保留されていると主張した。一方マイクロソフトは、研究者が公開前に公式チャネルを通じてこれらの脆弱性を報告していなかったと反論している。

マイクロソフトが事態をエスカレートさせた方法

状況が劇的に緊迫化したのは、5月の最終週のことだ。5月23日ごろ、Nightmare EclipseのGitHubアカウントが停止され、さらに5月26日から27日ごろにはGitLabからも追放された。自身の個人ブログに活動の場を移した研究者は、次の月例更新日にあたる2026年7月14日に、さらなるエクスプロイトの「徹底的な（bone shattering）」公開を行うと予告し、対決姿勢を強めた。

5月27日、マイクロソフトのMSRCは「共有された責任：協調的脆弱性開示を通じた顧客保護」と題するブログ記事を公開した。この中で、調整されていない情報公開を非難し、「未修正の脆弱性に対するPoCコードを悪意のある者の手に渡す無秩序な公開は、決して正当化されず、現実世界に深刻な結果をもたらす」と強い口調で述べた。

とりわけ、セキュリティコミュニティ全体に衝撃を与えたのは、次の一節だ。

「当社のデジタル犯罪ユニット（DCU）は、これらの行為者およびその犯罪活動を可能にする者に対して、引き続き措置を講じ、必要に応じて世界中の法執行機関と連携していきます」。

マイクロソフトは文中でNightmare Eclipseの名を直接挙げなかったものの、一連のゼロデイ公開キャンペーンへの直接的な反応としてこの記事が書かれた文脈から、多くのセキュリティ研究者はこれを、研究者個人に対する明確な法的脅迫と解釈した。

湧き上がるサイバーセキュリティコミュニティの反発

反応は迅速かつ圧倒的に否定的なものだった。セキュリティ研究者や業界関係者、主要テクノロジーメディアは、マイクロソフトの姿勢を、正当なセキュリティ研究を萎縮させかねない「威圧戦術」だと非難した。

複数のメディアが数日のうちに批判的な報道を行った。TechCrunchは「研究者を犯罪捜査で脅すマイクロソフトに非難の声」と報じ、Windows Centralは研究者の個人的な恐怖を「『彼らは私の人生を台無しにするだろう』」という見出しで伝えた。The Register、Security Affairs、CSO Online、そしてインドのThe Times of Indiaまでがこの反発を大きく取り上げ、国際的なメディアもサイバーセキュリティコミュニティの「怒り」と「騒動」を報じた。

批判の中心にあったのは、マイクロソフトの法的な脅しが、協調的開示プロセスそのものへの信頼を損なうという議論だ。研究者たちは、法的報復を恐れれば、誰も公式チャネルを通じてバグ報告をしなくなると警鐘を鳴らした。何人かのコメンテーターは、公開された6件の脆弱性のうち3件が未修正のまま放置されている中で、研究者を脅すという事態の皮肉を指摘した。

著名なセキュリティ研究者ケビン・ボーモント氏も、この件に対するマイクロソフトの対応を公然と問題視し、対応の比例性に疑問を呈した。コミュニティの総意は、「マイクロソフトが研究者からの最初の報告をぞんざいに扱ったことで事態を悪化させ、さらに法的な脅しで問題をこじらせた」という見方で固まった。

6月2日の声明撤回

2026年6月2日、マイクロソフトは方針を撤回した。ソーシャルメディア「X」に投稿され、複数のメディアが報じた声明の中で、同社は次のように表明した。「法的問題に対する当社のアプローチを明確にするためにお伝えします。当社は、セキュリティ研究を実施または公開する個人に対して法的措置を追求する意図はありません」。

この声明は、5月27日のブログ記事で示された「デジタル犯罪ユニット」の文言と真っ向から矛盾するものだった。マイクロソフトは、以前のコミュニケーションは協調的開示の慣行に関する一般的な見解であり、Nightmare Eclipseに対する特定の脅威ではなかったと、事態の説明を試みた。

ドイツのテックブログ「BornCity」は、この動きをMSRCの投稿が引き起こした「大炎上（shitstorm）」を受けて、マイクロソフトが「やや尻込みした」と表現した。業界メディアのiTnewsは、「セキュリティ研究者からの強い反発を受けての動きだ」と報じた。

撤退の本当の意味

6月2日の声明は、実質的なポリシーの見直しというよりも、ダメージコントロール策として理解するのが正しい。マイクロソフトは、脆弱性開示に対する期待値を変えるとも、研究者が主張する「報告の不適切な処理」や「未払いの報奨金」といった根本的な問題に取り組むとも、何ら約束しなかった。同社は「無秩序な公開は無責任だ」という立場を保持したまま、法的脅迫だけを取り下げたのだ。

研究コミュニティの反応は、こうした懐疑的な見方を反映していた。今回の「明確化」を、研究者の権利を守るための真摯なコミットメントではなく、世論の圧力に屈した戦術的撤退と見る向きが多かった。6月初旬の時点でも未修正のままであるYellowKey、GreenPlasma、MiniPlasmaの存在は、マイクロソフトの優先順位が間違っているという批判に、引き続き拍車をかけた。

この一連の騒動は、脆弱性開示の規範に潜む深い緊張関係を露わにした。協調的開示は「研究者は非公開でバグを報告し、ベンダーは妥当な期間内にパッチを提供する」という信頼関係の上に成り立っている。報告の無視、報奨金の保留、あるいは法的脅迫などを通じて、どちらか一方でもこの暗黙の契約が破綻したと感じたとき、システム全体はもろくも崩れ去るのだ。今回マイクロソフトに方針転換を強いたのは、①コミュニティの怒りの規模と速度、②7月14日のさらなる大規模なエクスプロイト公開という研究者の脅し、③自社のパッチが未完成のまま法的措置をちらつかせることの、イメージの悪さという、3つの要因だった。