マイクロソフトは、GitHubで研究者のアカウントを削除した直後に、ゼロデイセキュリティ脆弱性の公開情報開示を批判しました。この行動は一般ユーザーに直接影響を及ぼし、WindowsやOfficeといった日常的なソフトウェアの脆弱性修正を遅らせます。デジタル保護は透明性と企業管理のバランスにかかっています。
研究者を黙らせる代償 🔍
企業がバグを報告する研究者のアカウントを削除すると、抑止効果が生まれます。他の専門家は重要な脆弱性を共有することを躊躇します。これにより修正期間が長期化し、何百万ものユーザーが危険にさらされたままになります。情報への公的アクセスがなければ、パッチの提供はさらに遅れます。更新サイクルは鈍化し、サイバー犯罪者はその機会の窓を利用します。セキュリティは情報が少なくなることで向上するのではなく、より多くの協力によって向上するのです。
決して届かなかったパッチ(メッセンジャーが削除されたため) 🛡️
マイクロソフトはメッセージを読むよりも、メッセンジャーを殺す方を好むようです。研究者がOfficeに重大なバグを発見した場合、迅速なパッチを提供する代わりに、GitHubアカウントを削除し、その後で人々がそれを公表することを非難します。こうして、迅速な修正の代わりに、ユーザーは企業声明と、次のゼロデイが銀行口座を空にしないことを願うだけとなります。セキュリティが最優先であるとは、何と皮肉なことでしょう。