- GitHubが2026年5月23日、研究者「Nightmare-Eclipse」のアカウントを停止し、3日後の5月26日にGitLabも追放した
- 同氏は4月3日から6週間で6本のWindows向けゼロデイ脆弱性を未通知で公開し、Microsoft Defenderを集中的に狙った
- うち「BlueHammer」(CVE-2026-33825)はCISAの「悪用が確認された脆弱性」リスト(KEV)に登録され、実際の攻撃でも観測された
- Microsoftは5月27日付ブログで「協調的脆弱性開示(CVD)」を擁護し、停止はプラットフォーム規約違反対応だと説明
- 研究者は「7月14日」に追加公開を予告し、Dead man’s switchを設置済みと主張
「自分の発見した脆弱性をMicrosoftが3年放置した」と訴える研究者が、Windowsの未修正の穴を立て続けに公開し、ついにGitHubとGitLabの両方から追放されました。プラットフォーム検閲とセキュリティ研究の自由が真正面からぶつかった、2026年最大級の論争です。
何が起きたのか|3日でGitHubとGitLabが続けてBAN
事件の中心人物は「Nightmare-Eclipse(ナイトメア・エクリプス)」というハンドルで活動する匿名のセキュリティ研究者です。
同氏は2026年4月3日から、Windowsの未修正脆弱性(ゼロデイ)を立て続けに公開し始めました。
そして5月23日にGitHub、続いて5月26日にGitLabが同氏のアカウントを停止。リポジトリも全削除されました。
追放までわずか3日。両プラットフォームから連続で姿を消した形です。
公開された6本のゼロデイ
4月3日から約6週間の間に公開されたのは以下の脆弱性です。
- BlueHammer (CVE-2026-33825) — Defenderの権限昇格(LPE)。修正済み、CISA KEV登録
- RedSun (CVE-2026-41091) — Defenderクラウドロールバック機構を悪用したLPE
- UnDefend (CVE-2026-45498) — Defenderの定義更新を妨害するサービス拒否(DoS)
- BitLocker脆弱性 — USB接続でTPM単体封印のドライブを突破
- GreenPlasma / MiniPlasma — Malware Protection Engine関連の権限昇格系
うち3本(BlueHammer/RedSun/UnDefend)は、エンドポイントセキュリティ大手Huntressによって実際の侵入事案で使われていることが確認されています。
なぜそこまで怒っているのか
Nightmare-Eclipse氏が示している動機は明快です。
「Microsoftが過去の脆弱性報告を放置し、自分の人生を台無しにした」というもの。
同氏はMicrosoft Security Response Center(MSRC)に対して、過去に正規ルートで報告した内容が放置・軽視されたと主張しています。
つまり、ベンダー側の対応に不信感を募らせた研究者が、規約違反を承知で「実弾」を公開し続けている構図です。
Microsoftの主張|「協調的開示の枠を破壊した」
Microsoftは5月27日付の公式ブログで反論しました。
同社が掲げるのは協調的脆弱性開示(CVD: Coordinated Vulnerability Disclosure)という考え方です。
CVDってなに?
CVDとは、研究者がベンダーに脆弱性を報告→ベンダーがパッチを作成→修正後に公開、という順番を守る業界慣行です。
パッチ前に詳細を公開すれば、攻撃者が先に悪用できてしまうため、利用者を守るための事実上のルールとされてきました。
Microsoftは「Nightmare-Eclipse氏のやり方はCVDに沿わず、ユーザーを危険に晒した」と説明しています。
GitHub・GitLabはなぜ削除?
両社とも停止の正式な理由は公表していません。
ただし利用規約には、悪用可能なエクスプロイト(攻撃コード)の配布を制限する条項があり、それを根拠とした措置と見られています。
一方Nightmare-Eclipse氏は「Microsoftによる報復的措置だ」とTom’s Hardwareに対して主張しています。
セキュリティ研究コミュニティの反応|割れる賛否
この件は、セキュリティ業界を真っ二つに割っています。
「危険な放出だ」派
大手セキュリティベンダーBarracudaは「6週間で6本のゼロデイは、明確にユーザーへの危害を増やした」と批判。
HuntressやVectra AIなど、実際に攻撃を観測している企業からは「すでに現場で使われている。即時パッチが必要」と現実的な対応が呼びかけられています。
「プラットフォーム検閲の問題」派
一方で、GitHubがMicrosoft傘下である点を問題視する声も強くあります。
つまり「親会社の脆弱性を公開した研究者を、子会社が消す」という構図への疑問です。
研究者の活動が、ベンダー判断ひとつで全消去される前例ができれば、今後のセキュリティ研究全体が萎縮しかねない、という懸念です。
TechPlanetなどは「企業責任と脆弱性開示の透明性に関する根本的な問いを突きつけている」と指摘しました。
過去の類似事例との比較|今回の何が異質なのか
セキュリティ研究者と大手ベンダーの衝突自体は珍しくありません。
2021年にはGoogleのProject Zeroが、Appleや他社のゼロデイを90日ルールで公開し、強い反発を受けた経緯があります。
2024年にはCrowdStrike騒動を受けて、エンドポイントセキュリティへの研究関心が世界的に高まりました。
Nightmare-Eclipseが特異な3つの点
- 連続性 — 6週間で6本という公開ペースはProject Zero含めても異例の頻度
- 標的の集中 — 全てMicrosoft Defender周辺。OS標準のセキュリティ層を狙い撃ち
- 個人による報復動機 — 組織の方針ではなく、特定企業への個人的怨恨が動機
過去の論争が「ルールの解釈の違い」だったのに対し、今回は「ベンダーvs個人」という剥き出しの対立構造になっている点が大きく異なります。
日本のユーザー・企業への影響
日本のWindowsユーザーや企業にとっても無関係ではありません。
個人ユーザーが今やるべきこと
BlueHammer(CVE-2026-33825)は既にMicrosoftが修正済みです。
Windows Updateを必ず最新に保ってください。とくにDefenderの定義ファイルが古いままだとUnDefendの影響を受け続けます。
BitLocker脆弱性については、TPM単体ではなくPIN付きの起動認証を設定しておくと安全度が大きく上がります。
企業のIT担当が確認すべき3点
- パッチ適用状況の即時点検 — CISA KEV登録分(BlueHammer)は最優先
- Defender以外の多層防御 — Defenderそのものが攻撃面になっている以上、EDR/XDRの併用検討
- 7月14日に向けた監視強化 — 公開予告日に侵入兆候が増える可能性
日本国内でも、ある中小企業のIT担当者が月末のセキュリティレビューで「DefenderはWindows標準だから大丈夫」と判断していたら、まさにそのDefender自体が攻撃の入り口になっている、という想像をしてみてください。今回の事件はその前提を覆すものです。
独立行政法人IPA(情報処理推進機構)も同様の脆弱性情報を随時注意喚起していますので、企業のセキュリティ担当者は併せて確認しておくと安心です。
7月14日に何が起きるのか|「Dead man’s switch」の不気味さ
Nightmare-Eclipse氏は、自分のアカウントが停止された場合に備え、「Dead man’s switch(死人のスイッチ)」を設置済みだと主張しています。
これは、本人からの定期的な「生存確認」が途絶えた場合に、自動的に追加のエクスプロイト情報が公開される仕組みです。
さらに同氏は2026年7月14日を「次の公開日」として予告しています。
このため、セキュリティベンダー各社は7月中旬に向けて警戒態勢を取り始めています。
もし予告通り未修正の脆弱性が大量に解放されれば、Windowsエコシステム全体に深刻な影響が及ぶ可能性があります。
よくある質問(FAQ)
Q1. なぜGitHubはMicrosoftの脆弱性を公開した研究者を消せるのですか?
GitHubは利用規約で、悪用可能なエクスプロイトコードの配布を制限しています。今回の措置はその規約適用と説明されていますが、Microsoft傘下である点が議論の焦点になっています。
Q2. 公開された脆弱性は今からでも悪用される危険がありますか?
はい。リポジトリは削除されましたが、ミラーやコピーは既にネット上に拡散しています。Windows Updateで最新パッチを適用することが最優先です。
Q3. CVD(協調的脆弱性開示)を守らないと違法なのですか?
違法ではありません。ただし業界慣行として推奨されており、ベンダー各社のバグバウンティ報奨金や謝意もCVD遵守が前提です。今回の研究者は意図的にこの枠を破っています。
Q4. 日本の私の会社ではどう対応すべきですか?
まずWindows Updateの適用状況を全端末で確認し、特にBlueHammer(CVE-2026-33825)対応のパッチを優先してください。Defender以外のEDR導入も検討する価値があります。
まとめ
- Nightmare-Eclipse氏が4月3日から6週間で6本のWindowsゼロデイを公開し、GitHubは5月23日、GitLabは5月26日にアカウントを停止
- BlueHammer(CVE-2026-33825)はCISA KEVに登録され、実際の攻撃でも観測。Defenderが攻撃の入り口に変わるという異例の事態
- Microsoftは5月27日の公式ブログで「協調的脆弱性開示(CVD)」を擁護し、研究者は「Microsoftが報復で消した」と反論
- セキュリティ研究の自由とプラットフォーム検閲のバランスを問う論争に発展、業界が分裂
- 研究者は7月14日の追加公開を予告。日本企業もWindows Update最新化と多層防御の見直しを急ぐべき
まずは社内・自宅のWindows端末すべてに最新パッチが適用されているか、今日のうちに確認しておきましょう。
参考文献
- GIGAZINE|Microsoftの悪夢、ゼロデイ研究者をGitHubがBAN
- Cybernews|GitLab removes rogue security researcher days after GitHub ban
- Tom’s Hardware|Microsoft’s GitHub bans security researcher
- Microsoft MSRC|A shared responsibility: Protecting customers through CVD
- Huntress|Nightmare-Eclipse Tooling Seen in Real-World Intrusion
こんな時代だから遊んで学びたい
AIを学ぶオンラインサロン「AIフレンズ」では、生成AIを楽しく、どこよりも優しく学べる環境をご用意しております。
毎週開催されるオンラインセッションでは、リアルタイムで学び合える機会を提供しています。 さらに、月に一度のオフラインイベントでは、メンバー同士が直接交流し、アイデアや知識を深めることができます。
「AIフレンズ」の仲間とともに、新しい価値を創造し、可能性を広げてみませんか?
一緒に学び、成長しながら、生成AIを使いこなす力を身につけましょう!
