本記事は、Microsoft Security Response Center のブログ “Announcing the Windows Bounty Program” (2017 年 7 月 26 日 米国時間公開) を翻訳したものです。
Windows 10 は世界に誇る軽減策を搭載し、私たちのセキュリティに対する精力的な取り組みを象徴する最高で最新の製品です。マイクロソフトのソフトウェア セキュリティを改善する長年にわたる戦略の 1 つとして、攻撃者が脆弱性を特定し悪用することを困難かつコストのかかる行為にするための、防御技術への投資が挙げられます。システムのセキュリティを強化するために、DEP、ASLR、CFG、CIG、ACG、Device Guard、および Credential Guard などの軽減策や防御策を組み込み、Windows Defender Application Guard のような防御機能を引き続き追加することで、シームレスなカスタマー エクスペリエンスを保証しながらエントリー ポイントの保護を大幅に強化していきます。
Windows のセキュリティ水準を高く保つ方針のもと、2017 年 7 月 26 日に Windows に関する報奨金プログラムを開始します。このプログラムは Hyper-V、軽減策バイパス、Windows Defender Application Guard、および Microsoft Edge の重点分野に加え、Windows Insider Preview のすべての機能を対象とします。また、Hyper-V のバグ報奨金プログラムに関しては、報奨金の支払い額の範囲を拡大します。
2013 年以来、私たちはさまざまな Windows 機能に関する複数の報奨金プログラムを実施しています。セキュリティは常に変化しており、異なる時点で異なる種類の脆弱性を優先します。マイクロソフトはバグ報奨金プログラムに高い価値があると確信し、私たちのセキュリティ機能の拡張に役立つと信じています。
プログラムの概要は、以下のとおりです。
- お客様のプライバシーおよびセキュリティを侵害する重大または重要なリモートでのコード実行や、特権の昇格、または設計上の課題に対して、報奨金が支払われます
- この報奨金プログラムは、マイクロソフトの自由裁量により無期限に継続されます
- 報奨金の支払い額の範囲は、500 米国ドルから 250,000 米国ドルです
- もし研究者が、条件を満たす脆弱性で既にマイクロソフト内部で発見されたものを報告した場合、発見者が受け取る可能性のあった最高額の最大 10% を報奨金としてその発見者に支払います (例: Edge のリモートでのコード実行の場合は 1,500 米国ドル、Hyper-V のリモートでのコード実行の場合は 25,000 米国ドル)
- マイクロソフトはすべてのセキュリティ関連のバグを重要視しています。発見したセキュリティ関連のバグはすべて、協調的な脆弱性の公開 (CVD) ポリシーのもと secure@microsoft.com までお知らせください
- Insider Preview に含まれる Windows の新しい機能に関する最新の情報については、Windows 10 Insider Program Blog (英語情報) を参照してください
- 対象および重点分野の詳細については、以下の表を参照してください。
| カテゴリ | 対象 | Windows のバージョン | 報奨金の範囲 (米国ドル) |
|---|---|---|---|
| 重点分野 | Microsoft Hyper-V | Windows 10Windows Server 2012Windows Server 2012 R2Windows Server Insider Preview | $5,000 から $250,000 |
| 重点分野 | 軽減策バイパスおよび防御策 | Windows 10 | $500 から $200,000 |
| 重点分野 | Windows Defender Application Guard | WIP slow | $500 から $30,000 |
| 重点分野 | Microsoft Edge | WIP slow | $500 から $15,000 |
| 基本 | Windows Insider Preview | WIP slow | $500 から $15,000 |
マイクロソフト報奨金プログラムの最新情報は、こちらの Web サイトおよび関連規約や FAQ を参照してください。
Akila Srinivasan、Joe Bialek、Matt Miller - Microsoft Security Response Center
David Weston、Jason Silves - Windows and Devices Group Enterprise and Security
Arthur Wongtschowski、Mary Lee、Ron Aquino、Riley Pittman - Windows and Devices Group Information Security
■ ご報告時の注意点
マイクロソフトの報奨金プログラムへご参加される場合は、脆弱性報告はすべて、こちらのガイドラインに沿って米国 secure@microsoft.com へ直接ご報告いただく必要があります 。この際、英語でのご報告が困難な場合は日本語の併記・記載でも構いません。これは、報奨金受賞者選定において、公平性の観点で重要となります。皆様のご参加をお待ちしています!
■ 関連情報
- マイクロソフト報奨金プログラムについて: マイクロソフト報奨金プログラム
- 脆弱性報告窓口「 脆弱性に関する情報をお寄せください 」: 報奨金プログラムへ参加せず、日本語で脆弱性報告を行う場合はこちらからお寄せ下さい。