本記事は、Microsoft Security Response Center のブログ “Office 365 security researchers: Double your bounties March-May 2017” (2017 年 3 月 1 日 米国時間公開) を翻訳したものです。
マイクロソフトは、お客様の保護に努め、そのニーズを満たすために常にセキュリティ状況の改善を図っています。研究者やお客様が、マイクロソフトとそのソリューションに対する信頼を確信するために、サービスのセキュリティを検証したいと望んでいることを理解しています。また、研究者が Office 365 サービスのセキュリティ上の欠陥について報告した場合、マイクロソフトを保護したことに対して報奨金が支払われるべきだと考えています。これらの発見は、社内でのセキュリティ検証の取り組みとともにユーザーの安全を維持することに貢献しています。
ユーザーの保護と研究者への報奨という方針に従って、Online Services Bug Bounty プログラムの更新についてお知らせします。2017 年 3 月 1 日から 5 月 1 日までの間、Exchange Online および Office 365 管理ポータルについて提出された対象となるセキュリティの脆弱性に対して 2 倍の報酬を支払います。
これらのプロパティは Office 365 スイートのコアを構成するウェブ アプリケーションです。マイクロソフトがホストするエンタープライズ向け電子メール ソリューションである Exchange Online は、あらゆるエンドポイント デバイスから電子メール、カレンダー、連絡先およびタスクなど重要なユーザー情報にアクセスするためのゲートウェイであり、そのセキュリティ強化はお客様のセキュリティにとって不可欠です。Office 365 管理ポータルは、テナント アクセスを管理するための Web 管理インターフェイスです。このポータルは、テナントおよびテナント管理者を侵害から保護するための重要な役割を果たします。
Nullcon 2017 の Bountycraft ワークショップにおいて、この報奨金プログラムの詳細の発表と、マイクロソフトが Online Service のプロパティにどのように報奨金を割り当てるかについての複数のトレーニング ワークショップを開催します。トレーニング セッションへのご参加をお待ちしています。
報奨金プログラムの重要な要点 :
-
2 倍の報奨金が支払われるドメインは、次のとおりです。
- portal.office.com
- outlook.office365.com
- outlook.office.com
- outlook.live.com
- *.outlook.com
-
対象となる脆弱性の種類については、Online Services Bug Bounty 利用規約に記載されています。
-
2 倍の報奨金が支払われる期間は 2017 年 3 月 1 日 ~ 5 月 1 日です。
-
この期間の報奨金の支払い額は 1,000 米国ドル ~ 30,000 米国ドルです。
実施要請 : secure@microsoft.com 宛に脆弱性を提出し、3 月から 5 月の間に 2 倍の報奨金*を受け取ってください。
マイクロソフト報奨金プログラムの最新情報は、こちら (英語情報) の Web サイトおよび関連規約や FAQ を参照してください。
Akila Srinivasan、Travis Rhodes
MSRC
■ ご報告時の注意点
マイクロソフトの報奨金プログラムへご参加される場合は、脆弱性報告はすべて、 こちら のガイドラインに沿って米国 secure@microsoft.com へ直接ご報告いただく必要があります 。この際、英語でのご報告が困難な場合は日本語の併記・記載でも構いません。これは、報奨金受賞者選定において、公平性の観点で重要となります。 皆様のご参加をお待ちしています!
■ 関連情報
- マイクロソフト報奨金プログラムについて: Microsoft Bounty Programs (英語情報)
- 今回更新対象のプログラム: Online Services Bug Bounty 利用規約
- 脆弱性報告窓口「 脆弱性に関する情報をお寄せください 」: 報奨金プログラムへ参加せず、日本語で脆弱性報告を行う場合はこちらからお寄せ下さい。