Windowsのゼロデイ脆弱性を投稿したセキュリティ研究者が「Microsoftの報復でGitHubから追放された」と主張 – GIGAZINE

Microsoft傘下のGitHubが、Windowsのゼロデイ脆弱(ぜいじゃく)性を相次いで公開していたセキュリティ研究者Nightmare-Eclipse氏のアカウントを停止したと報じられています。アカウント停止の具体的な理由は明らかにされておらず、同氏はGitLabへ活動拠点を移したと報告しましたが、その後GitLabでもアカウントがBANされています。

Nightmare Eclipse: July 14th
https://deadeclipse666.blogspot.com/2026/05/july-14th.html

Microsoft’s GitHub bans security researcher who posted zero-day Windows exploits because company ‘ruined their life’ — expert claims action is vindictive and promises further retaliation | Tom’s Hardware
https://www.tomshardware.com/tech-industry/cyber-security/microsofts-github-bans-security-researcher-who-posted-zero-day-windows-exploits-because-company-ruined-their-life-expert-claims-action-is-vindictive-and-promises-further-retaliation

Nightmare-Eclipse氏は2026年4月にWindows Defender関連の権限昇格エクスプロイトを、2026年5月にはBitLockerで保護されたドライブに外付けのUSBメモリでアクセスできてしまう脆弱性を公開していました。

Microsoft BitLockerで保護されたドライブを回復キーなしにUSBメモリ上のファイルだけでアクセスできる脆弱性が明らかに – GIGAZINE

今回の騒動はNightmare-Eclipse氏とMicrosoftの対立が続く中で起きたものです。Nightmare-Eclipse氏はブログで、Microsoft側が連絡に応じず、自身が脆弱性報告に使っていたMicrosoftアカウントも削除されたと主張しています。

Nightmare-Eclipse氏によると、同氏のGitHubアカウントは「flag」され、公開状態から消されたそうで、これをMicrosoft側による報復的な措置だと主張しています。また、バグ報告を行っても報奨金を受け取れなかったとも訴えており、Microsoft Security Response Center(MSRC)のバグ報奨金制度への不満をにじませています。

この対立は4月ごろから表面化していたとされ、同氏は事前警告なしに「BlueHammer」と呼ばれるWindowsのゼロデイ脆弱性を公開しました。Nightmare-Eclipse氏のブログ記事は具体的な対立内容を明らかにしていませんが、「Microsoftから『お前の人生を台無しにしてやる』と直接言われ、実際にそうなった」「何らかのデッドマンスイッチがある」「Microsoftの骨を粉々に砕いてやる」などと、激しい怒りをにじませています。

さらにNightmare-Eclipse氏は5月23日付のブログ投稿で、7月14日にさらなる情報公開を行うと予告しました。Nightmare-Eclipse氏は同投稿で、Microsoft Defenderにおけるサービス拒否の脆弱性「CVE-2026-45498」を「UnDefend」、Microsoft Malware Protection Engineの脆弱性「CVE-2026-41091」を「RedSun」と呼び、当初GitLabへの移行を案内していましたが、その後GitLabのアカウントもBANされたと報じられています。

一方、Microsoftは5月27日付のブログ投稿で、RedSun、UnDefend、BlueHammer、YellowKey、GreenPlasma、MiniPlasmaについて、公開前にMicrosoftへ詳細が共有されておらず、協調的な脆弱性開示に沿ったものではなかったと主張しました。ただし、GitHubアカウント停止の理由や、Nightmare-Eclipse氏が主張するMicrosoftアカウント削除についての詳細は明らかにしていません。Tom’s Hardwareは「GitHubアカウント停止は印象が悪く、すでにコードが別の場所に存在する以上、セキュリティ上の実効性も乏しい」と評しています。

セキュリティ専門家のウィリアム・ドーマン氏は、MSRCがかつては非常に優れた窓口だったとしつつ、今は熟練のセキュリティエンジニアが減ってしまったため、手順に沿うだけの対応になっている可能性があると指摘。ドーマン氏は「脆弱性の報告者が実証動画の提出を拒んだ場合、Microsoft側が案件を閉じた可能性もある」と述べました。