本記事は、Microsoft Security Response Center のブログ “Extending the Microsoft Edge Bounty Program” (2017 年 6 月 21 日 米国時間公開) を翻訳したものです。
マイクロソフトは、過去 10 か月間にわたり 200,000 米国ドル以上の報奨金を支払いました。研究コミュニティとのコラボレーションにより Edge のセキュリティは大幅に改善され、マイクロソフトはお客様に対してよりプロアクティブにセキュリティを提供できるようになりました。お客様を保護し、研究者とのプロアクティブな協業を進めるという方針のもと、本日「Windows Insider Preview の Microsoft Edge Web プラットフォーム、バグ報奨金プログラムの条件」を変更し、期限限定ではなく継続的な報奨金プログラムとします。
2013 年以来、特定の脆弱性を検出することを目的とし、ブラウザーに関する 3 つの報奨金プログラムを立ち上げました。セキュリティとは継続的に取り組むものであり目的地ではないため、マイクロソフトは異なる時点で異なる種類の脆弱性を把握することを優先しています。2016 年 8 月 4 日には Windows Insider Preview 上の Microsoft Edge Web Platform に関する報奨金プログラムを開始し、研究者の皆さんに対して最新のブラウザーにおけるリモートでのコード実行 (RCE)、同一生成元ポリシーをバイパスする脆弱性 (例: UXSS)、および参照元のなりすましの脆弱性に関する報告を奨励しました。お客様へ安全な製品を提供することはマイクロソフトの使命であり、この報奨金プログラムはその目標を達成する手助けとなりました。10 か月間のプログラム期間中、お客様の保護に役立つ Edge に関する高品質な報告を多数受け取りました。
プログラムの概要は、以下のとおりです。
- お客様のプライバシーおよびセキュリティを侵害する重大なリモートでのコード実行や重要な設計上の課題に対して、報奨金が支払われます
- この報奨金プログラムは、マイクロソフトの自由裁量により無期限に継続されます
- 報奨金の支払い額の範囲は 500 米国ドルから 15,000 米国ドルです
- もし研究者が、条件を満たす脆弱性で既にマイクロソフト内部で発見されたものを報告した場合、最初の発見者に対して最大 1,500 米国ドルを支払います
- 脆弱性は、最新の Windows Insider Preview (Slow track) で再現可能でなければなりません
- マイクロソフトはすべてのセキュリティ関連のバグを重要視しています。Microsoft Edge ブラウザーで発見したセキュリティ関連のバグは、協調的な脆弱性の公開 (CVD) ポリシーのもと secure@microsoft.com までお知らせください
- Insider Preview に含まれる Windows の新しい機能に関する最新の情報については、Windows 10 Insider Program Blog (英語情報) を参照してください。
マイクロソフト報奨金プログラムの最新情報は、こちら (英語情報) の Web サイトおよび関連規約や FAQ を参照してください。
Akila Srinivasan Microsoft Security Response Center
■ ご報告時の注意点
マイクロソフトの報奨金プログラムへご参加される場合は、脆弱性報告はすべて、こちらのガイドラインに沿って米国 secure@microsoft.com へ直接ご報告いただく必要があります 。この際、英語でのご報告が困難な場合は日本語の併記・記載でも構いません。これは、報奨金受賞者選定において、公平性の観点で重要となります。 皆様のご参加をお待ちしています!
■ 関連情報
- マイクロソフト報奨金プログラムについて: マイクロソフト報奨金プログラム
- 今回拡張対象のプログラム: Windows Insider Preview の Microsoft Edge Web プラットフォーム、バグ報奨金プログラムの条件
- 脆弱性報告窓口「 脆弱性に関する情報をお寄せください 」: 報奨金プログラムへ参加せず、日本語で脆弱性報告を行う場合はこちらからお寄せ下さい。