本ブログは、Microsoft Bug Bounty Program Year in Review: $13.8M in Rewards の抄訳版です。最新の情報は原文を参照してください。
過去 12か月の間に、世界 45か国以上の 345 人を超えるセキュリティ研究者とのコラボレーションの結果を共有できることを嬉しく思います。私たちはこれまで、1000 件を超える潜在的なセキュリティ問題を発見し、お客様に影響を及ぼす前に修正してきました。この貴重な協業が評価され、業界をリードするマイクロソフトバグ報奨金プログラムの一環として、1,380万ドルの賞金が授与されました。
マイクロソフトバグ報奨金プログラム は、セキュリティの脅威からお客様を保護するためのプロアクティブな戦略の重要な部分です。このプログラムは、研究者が優先度の高い分野の脆弱性を発見するきっかけとなり、進化し続けるセキュリティと新しいテクノロジにおいて、マイクロソフトが時代を先取りすることを助けています。セキュリティ研究者が協調的脆弱性開示に沿うことで、彼らは何百万ものマイクロソフトのお客様に影響するセキュリティの重要な強化に貢献をしています。
報奨金プログラムは、Azure、Edge、M365、Dynamics 365、Power Platform、Windows、Xbox などの製品とサービスにまたがっています。各プログラムには、研究者が意図しない損害を与えることなく影響力のある研究ができるように、独自の範囲、適格基準、賞金の範囲、および提出ガイドラインが設けられています。これらのガイドラインは、各製品またはドメインの特定の脅威モデルに合わせて調整しています。各プログラムの詳細については、マイクロソフトバグ報奨金プログラムの Web サイトを参照してください。
報奨金の更新
過去 12か月間、バグ報奨金および研究プログラムを継続的に成長・進化させ、新製品や統合をカバーするため、次のような重要な分野の範囲を拡大しました。
- Intune のバグ報奨金研究招待チャレンジ 2022 年 7 月
- Microsoft 365 Insider Builds on Windows Bounty Program におけるインパクトの大きい調査シナリオを追加 2023 年 1 月
- Microsoft Teamsプレビュー のバグ報奨金研究招待チャレンジ 2023 年 1 月
- 新しい Bing のバグ報奨金研究招待チャレンジ 2023 年 3 月
- Microsoft 365のバグ報奨金プログラムにオンラインサービスの新しい重大度分類 を追加 2023 年 4 月
- アイデンティ報奨金プログラムに新しいスコープを追加 2023 年 6 月
- Windowsのインサイダープレビュー報奨金プログラムにセキュアブートの調査シナリオを追加 2023 年 7 月
報奨金
報奨金は、バグの重大性とセキュリティへの影響、およびレポートの完成度と正確性に基づいています。また、影響の大きい分野での研究を奨励するため、褒賞はお客様にとって最も重要な分野に沿っています。 来年度も、皆様からのフィードバックに基づき、プログラムを改善していきます。私たちは、グローバルなセキュリティ研究コミュニティの継続的なパートナーシップと、何百万ものマイクロソフトのお客様のセキュリティ確保を支援するための専門知識の共有に感謝しています。
私たちは、これまでの関係を強化し、新たな関係を築くことを楽しみにしています。
安全で楽しい狩りを!
Bruce Robinson, Lynn Miyashita, Madeline Eckert
マイクロソフトバグ報奨金チーム