謎の研究者Chaotic Eclipse、Windows脆弱性に対するエクスプロイト「MiniPlasma」をリリース（CVE-2020-17103）

謎の研究者Chaotic Eclipse、2020年の未パッチWindows脆弱性に対するエクスプロイト「MiniPlasma」をリリース（CVE-2020-17103）

SecurityWeek – May 18, 2026

2026年4月以降、相次いでWindowsのゼロデイエクスプロイトを公開している匿名のセキュリティ研究者「Chaotic Eclipse（Nightmare Eclipse）」が、新たなエクスプロイト「MiniPlasma」をリリース。MiniPlasmaは、2020年に開示されたWindowsの脆弱性CVE-2020-17103を標的にしたエクスプロイトだという。

CVE-2020-17103は、Windows Cloud Filterドライバにおける特権昇格の脆弱性。Google Project Zeroの研究者により2020年に報告され、2020年12月の月例セキュリティ更新プログラムで修正版が展開されていた。

しかしChaotic Eclipseは、この脆弱性が解消されていないか、パッチがロールバックされておらず今なお現存していると主張。Project Zeroの研究者が当時リリースした元のPoCコードが、変更を加えずともいまだに有効であると述べた。

同研究者が公開したエクスプロイト「MiniPlasma」は、CVE-2020-17103を悪用してsystemシェルを起動するもの。同エクスプロイトをテストしたTharros Labsの脆弱性アナリストWill Dormann氏によると、MiniPlasmaは2026年5月のセキュリティアップデートがインストールされたWindows 11に対して有効に機能したとのこと。

バグ報奨金の運営、「AIスロップ」の殺到が課題に

ArsTechnica – May 18, 2026

「バグ報奨金」制度を導入している企業のもとにはAI生成された質の低い報告書が殺到するようになっており、一部の企業はプログラムを完全に停止せざるを得なくなっているという。

こうした企業は長年にわたり、報奨金を支払う代わりに独立系セキュリティ研究者などに自社製品の脆弱性を発見してもらっていた。しかし生成AIの進歩により、バグ報奨金をめぐるエコノミクスは形を変えつつあるとされる。

OpenAIやT-モバイルなどを顧客に抱えるバグ報奨金プラットフォーム「Bugcrowd」によれば、同社が2026年3月に受領した脆弱性レポートの件数は4倍以上に急増したものの、その大半が誤報だったと報告している。また、人気のデータ転送ツール「Curl」は「AIスロップ」と低品質な脆弱性レポートの爆発的増加を理由に、2026年1月でバグ報奨金プログラムを停止。さらに4月には、ソフトウェアグループNextcloudが同様の理由でバグ報奨金プログラムを停止したが、提出される報告書を効果的にフィルタリングする手段が見つかれば再開したいと述べていた。

このように、バグ報奨金プログラムを運営する企業にとっては、AIスロップ問題に対処することが課題となっている。中には、より厳格な身元調査を導入し始めたり、報告内容を選別するためのAIエージェントの構築を進めているHackerOneのような企業もあるという。

ゴールドマン・サックス、Google、米国防総省などにバグ報告プラットフォームを提供しているHackerOneは、2026年3月までの1年間で報告件数は76％急増したものの、正当な脆弱性を指摘する報告の割合は、過去1年間を通じて25％で横ばいだったことを明かしている。ただ、ここ数週間においては、AIを活用した「より質の高い」報告が増加しているとも述べた。このため、AI生成の脆弱性レポートの増加はそれらを「一切受け入れたくない」と断じる「強力な理由にはならない」としている。