本ブログは、Expanding High Impact Scenario Awards for Microsoft Bug Bounty Programsの抄訳版です。最新の情報は原文を参照してください。
Microsoft Dynamics 365 and Power Platform Bounty Program (英語情報) および M365 Bounty Program (英語情報) にシナリオ ベースの報奨金が追加されたことをお知らせできることを嬉しく思います。これらの新しいシナリオ ベースの報奨金を通じて、研究者が顧客のプライバシーとセキュリティに最も大きな影響を与える可能性のある脆弱性に研究を集中することを奨励します。対象となるシナリオが提出された場合、最大 30% (合計 $26,000 USD) を増額します。
Microsoft Dynamics 365 and Power Platform Bounty Program
| シナリオ | 最高額 |
|---|---|
| テナント間の情報漏えい | $20,000 |
M365 Bounty Program
対象となる報告には、一般的な M365 の報奨金に加え 15 ~ 30%の報奨金を得ることができ、最も高い賞金を獲得することができます。
| シナリオ | 最高額 |
|---|---|
| 信頼できない入力によるリモートコード実行 (CWE-94 “Improper Control of Generation of Code (‘Code Injection’)”) | +30% |
| 信頼できない入力によるリモートコード実行 (CWE-502 “Deserialization of Untrusted Data”) | +30% |
| 許可されていないテナント間および ID 間の機密データ漏洩 (CWE-200 “Exposure of Sensitive Information to an Unauthorized Actor”) | +20% |
| 許可されていない ID 間の機密データ漏洩 (CWE-488“Exposure of Data Element to Wrong Session”) | +20% |
| 認証を回避してリソースにアクセスする実用的な攻撃に利用可能な ”Confused deputy (混乱した使節の問題)” の脆弱性 (CWE-918 “Server-Side Request Forgery (SSRF)”) | +15% |
新しい報奨金は、セキュリティの脅威から身を守るためのマイクロソフトの全体的なアプローチの一環として、セキュリティ研究コミュニティと提携するための継続的な取り組みの一環です。新しいシナリオに関するご質問、またはその他のセキュリティ研究報奨金 プログラムに関する一般的なお問い合わせは、bounty@microsoft.com (英語) または jpsecure@microsoft.com (日本語)までお問い合わせください。
Lynn Miyashita and Madeline Eckert, MSRC