Microsoft、事前共有なしのゼロデイ脆弱性公表を批判 バグハンターと対立
米Microsoftは5月27日、事前共有なしにゼロデイ脆弱性(修正前の弱点)を公表する行為について、公式ブログで批判した。同社は顧客保護のため24時間体制で対応中とし、「協調的脆弱性開示(CVD)」の重要性を改めて訴える。
米Microsoftは5月27日(現地時間)、同社製品のゼロデイ脆弱性を事前共有なく公表する行為について、非難の声明を発表した。Microsoft製品を巡ってはここ数カ月、「Chaotic Eclipse」または「Nightmare-Eclipse」を名乗る人物による脆弱性の公表が相次いで報じられている。
Microsoftは、Chaotic Eclipseが公表したという「RedSun」「UnDefend」「BlueHammer」「YellowKey」「GreenPlasma」「MiniPlasma」といった脆弱性について、開示前に事前の共有がなく、顧客を不必要なリスクにさらす可能性があったと批判。一連の行動は「協調的脆弱性開示」(CVD)の考えに反するとして、セキュリティコミュニティーに対し同社のポータルサイトを通した脆弱性報告を求めた。
協調的脆弱性開示(CVD)とは、研究者が発見した脆弱性をベンダーやベンダーへの報告が可能な政府機関・民間機関などに共有し、修正プログラムを用意したあと一般に公開する仕組みを指す。
同社は、脆弱性を悪用する犯罪者やその助長者への訴訟を継続し、必要に応じて各国の法執行機関と連携していく方針を示している。なお、米The Registerなどの報道によれば、Chaotic Eclipseは「骨を砕く」として、7月14日に何らかの行動を予告しているという。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ランサム攻撃で個人情報3万件流出か 貿易貨物の検査機関・新日本検定協会
ランサムウェアによりサーバ内のデータが暗号化され、ファイル転送ツールが実行された痕跡が確認されたという。
AI生成の「ゴミ報告」が殺到、対応追い付かず疲弊……脆弱性発見の懸賞金制度に異変
オープンソースソフトウェア(OSS)の脆弱性に懸賞金をかけて発見を促し、対応を支援してきた米セキュリティ企業のHackerOneが、新規の報告受け付けを停止している。AIで生成された質の低い脆弱性報告の激増が原因といい、影響は主要OSSプロジェクトに及ぶ。同様の懸賞金プログラムを提供してきたGoogleも対応を強いられるなど、AIの影響が深刻化している現実が浮き彫りになった。
「Claude Mythos」が1万件以上の脆弱性を発見 しかし修正追い付かず Anthropicが報告書
米Anthropicは5月22日(現地時間)、セキュリティプロジェクト「Project Glasswing」の初期報告を公開した。約50社のパートナー企業が1カ月で高・重大レベルの脆弱性を1万件超発見した成果に加え、同社が独自に進めてきたオープンソースソフトウェアのスキャン結果も公表された。
Google、AIが価格監視や決済最適化を自動で行う「Universal Cart」発表
Googleが「Google I/O 2026」で発表した「Universal Cart」は、検索、Gemini、YouTube、Gmailなどの同社サービスを横断して商品を一元管理できるショッピングカート。Geminiが価格変動の監視や在庫アラート、カート内商品の互換性チェックをバックグラウンドで実行し、Google Walletと連携して最適な決済方法も提案する。
Microsoft、AI事業の年率換算売上が370億ドル突破 Azureは40%増
Microsoftの1〜3月期決算は、売上高は前年同期比18%増の828億8600万ドル、純利益は23%増の317億7800万ドル。AIビジネスの年間売上高ランレートは370億ドルを突破し前年比123%増。設備投資は84%増の308億ドルに達した。