Microsoftは最近、ゼロデイ脆弱性への対応で批判にさらされている。 「ナイトメア・エクリプス」と名乗るセキュリティ研究者が脆弱性を悪用する複数の概念実証コードを公開し、マイクロソフトと公の場で衝突した。彼の発言の中には、彼が元マイクロソフト社員である可能性を示唆するものもありました。
サイバーセキュリティ研究者の Kevin Beaumont 氏が注目したのは、脆弱性そのものだけではなく、Microsoft の対応にもありました。 Microsoftは公式声明の中で、研究者が「適切な調整手順」に従って脆弱性を開示せず、GitHub、GitLab、Microsoft Security Response Centerの関連アカウントを次々と禁止したことを理由に、Nightmare Eclipseに対する刑事訴追を検討する予定であると述べた。
Beaumont氏は、顧客のアカウントが完全に禁止された後は、Microsoftのいわゆる「責任ある開示」チャネルを通じて将来のセキュリティ脆弱性を報告することはほぼ不可能になると指摘した。さらに同氏は、さらに皮肉なことに、マイクロソフトは犯罪歴のある人々を含む、ゼロデイエクスプロイトコードを公に公開した一部の人々を長年雇用していることだと強調した。同時に、同社は脆弱性ブローカーからエクスプロイト プログラムも購入します。
ボーモント氏の見解では、「しばしばかなり恣意的な『責任ある開示』の枠組みへの違反」を犯罪化しようとするマイクロソフトの現在の試みは支持できない。同氏は、このような訴訟が法廷に持ち込まれれば、Microsoftの過去の雇用、セキュリティ戦略、脆弱性取引に関する決定がすべて俎上にのせられ、「矛盾した事実に満ちたピエロカー」が形成され、司法審査で自らを正当化することが困難になると警告した。
事件全体から判断すると、Microsoft はセキュリティ研究コミュニティに依存しただけでなく、同様の行為を悪用したセキュリティ専門家を買収して雇用していました。その一方で、公表された個人に対しては、非常に厳しい、さらには衝撃的な刑事告発を行った。セキュリティ界では関連する論争が勃発しており、「責任ある情報開示」とは何か、および脆弱性情報開示ゲームにおける大手テクノロジー企業の力の限界についての議論も再燃している。