GitHubがWindowsのゼロデイ脆弱性を公開したセキュリティ研究者をまさかのアカウント停止処分に

GitHubが、Windowsのゼロデイ脆弱性に関するエクスプロイトコードを自身のレポジトリで公開したセキュリティ研究者のアカウントを停止しました。プラットフォーム上のコンテンツポリシー違反が理由とされていますが、脆弱性開示のあり方や、GitHubの対応の是非についてエンジニアコミュニティで波紋を呼んでいます。

この研究者、ちょっと様子がおかしいな。

あれだけ多くのエクスプロイトを公開してるんだから、どこかの諜報機関が喜んで雇い入れるんじゃないのか？

メッセンジャーを撃てば解決、ってか。めでたいね。

Microsoftはこの件を後悔することになる気がしてならない。

ゼロデイを見つけても報酬なしで、それどころかアカウントBAN。これじゃ、他でゼロデイを売りさばくようになるだけだろ。

最近こんなニュースもあったな。

サティア・ナデラがMicrosoftのコードの最大30%がAIで書かれていると発言した件：

https://www.cnbc.com/2025/04/29/satya-nadella-says-as-much-as-30percent-of-microsoft-code-is-written-by-ai.html

Microsoftからこの件についての公式発表はあるの？なんでMicrosoftもGitlabもこのユーザーをBANしたんだ？本来、エクスプロイトやセキュリティ研究であっても、事前に明記されていればホスティングは許可されてるはずだよね。何か規約違反でもあったのかな？

この研究者の背景ってどうなってるんだ？Microsoftに対して個人的な恨みがあるのか、それともAIの力を借りて見つけたゼロデイをバラ撒いてるのか？

バグバウンティハンターのゴールドラッシュ時代はもう終わりで、これからはハードウェアやトークン資本にアクセスできるやつが勝つ時代になりそうだ。

絶望的なアップタイム、Ghosttyの離脱、そして今回の件。GitHubは自ら墓穴を掘ってるな。

待てよ、MicrosoftはGitHub上のゼロデイを削除する責任を勝手に負い始めたのか？

もし俺のソフトウェアのゼロデイがGitHubで見つかったら、Microsoftは俺のアカウントまで消し飛ばすつもりか？

何が起きてるのか詳細は知らんが、大規模なバグバウンティプログラムの鉄則として、ベンダー側は積極的に報酬を支払うインセンティブがあるんだ。多くの場合、報酬の支払いが社内の評価指標になってる連中がいるからな。こういうプログラムでは支払いはむしろ祝うべきことなんだよ。Microsoftがケチるために報奨金請求者を冷遇してるなんてことは、まずないはずだ。

中小企業ならあり得る話かもしれない（だから中小企業はバグバウンティプログラムをやるべきじゃないんだ）が、FAANGやMAG7クラスの企業では確実に違う。

もちろん、支払いに甘いわけじゃないし、腹が立つような判断を下さないと言ってるわけじゃない。ただ、報復として報酬を拒否しているという説は少し考えにくい。

[†] ※Microsoftの誰かと最後に話してから時間が経っているから、念のための保険だよ。