マイクロソフトがセキュリティ研究者を刑事調査で脅したとして批判を浴びています。マイクロソフトは 5 月、同社製品に存在するパッチ未適用の脆弱性や、それらを悪用するコードを公開した「Nightmare Eclipse」と呼ばれる研究者を非難する公式ブログを投稿しました。この投稿は、Windows Defender や BitLocker などの製品に深刻な影響を与える「BlueHammer」など複数のバグを研究者が報告せずに公開したことを問題視し、同社が責任ある報告を行わなかったとして法的措置や警察への通報を検討していることを示唆しました。同社は、公開された脆弱性情報が現実の攻撃に利用された可能性を指摘し、自社のデジタル犯罪対策チームが世界中の法執行機関と協力して捜査を進めると表明しています。 これに対し、Nightmare Eclipse は以前にマイクロソフトのセキュリティ対応ポータルを通じてバグを報告したが、アクセス権限の剥奪などの不当な扱いを受け、やむを得ず公開に至ったと主張しています。同氏によれば、この対応によりバグは既に零日脆弱性（メーカーが知らない段階で悪用される欠陥）と化しており、公開せざるを得なかったとしています。また、バグが公開された GitHub や GitLab といったオープンソースプラットフォーム上で研究者のアカウントが削除されたことも明らかになりました。 この出来事に対し、セキュリティ業界全体から強い反発が起きています。多くの専門家や研究者は、マイクロソフトの「責任ある報告」という表現や、刑事罰を示唆するトーンが、セキュリティ研究者の信頼を損ない、今後バグ報告が減少する「冷や水効果」を招くと警告しています。特に Microsoft でバグ報奨金の仕組みを提唱し、現在は Luta Security の創業者であるケイティ・ムスーリス氏は、同社の対応は研究者の不信感を招き、システム全体のセキュリティを低下させる要因になると指摘しています。また、元マイクロソフト社のケビン・ビューモンツ氏も、マイクロソフトの対応を「自らの作り出した混乱」と断じ、脆弱性の検証コード配布を犯罪と見なす姿勢は許容できないと批判しています。業界では、バグ発見に対して適切な報酬が支払われることが一般的となっており、マイクロソフトのこの対応が今後の協力体制に悪影響を与える可能性が懸念されています。両者の間で具体的なコメントはなされていませんが、この対立はセキュリティ業界における企業と研究者の関係性のあり方を再考させる大きな論争となっています。