本ブログは、Microsoft Bug Bounty Programs Year in Review: $13.7M in Rewards の抄訳版です。最新の情報は原文を参照してください。
Microsoft のバグ報奨金プログラム および グローバルなセキュリティ研究コミュニティとのパートナーシップは、セキュリティの脅威からお客様を守るために Microsoft が行っているアプローチの重要な部分です。当社のバグ報奨金プログラムは、絶えず変化するセキュリティ環境、最先端技術、および新しい脅威の先を行くために、影響の大きい領域でのセキュリティ研究を奨励します。セキュリティ研究者は、脆弱性した脆弱性を Coordinated Vulnerability Disclosure (協調的な脆弱性の開示) を通じて Microsoft に報告することにより、何百万人ものお客様を保護するお手伝いをします。
過去 12 か月間で、マイクロソフトは 46 か国の 330 人以上のセキュリティ研究者に 1,370 万ドルのバグ報奨金を授与しました。昨年のHyper-V 報奨金プログラムでの最大の報奨金は 200,000 ドルで、平均報奨金はすべてのプログラムで 12,000 ドル以上で、最大かつ最も多様なグローバル セキュリティ研究コミュニティの 1 つによるインパクトの高い調査を実証しています。
この 1 年で何が変わったか?
私たちは、変化する脅威に対応するため、プログラムとパートナーシップを常に進化させています。この成熟プロセスの重要な要素は、研究者からのフィードバックに耳を傾けて、参入障壁を取り除き、研究努力をより促進することです。今年は、多くのプログラムで、顧客のセキュリティに対して最も重要な分野に焦点を当てた新しい研究課題と新しい影響の大きい攻撃シナリオを導入しました。これらの攻撃シナリオを Azure、Dynamics 365、Power Platform、および M365 の報奨金プログラムを追加することで、Azure Synapse Analytics、Key Vault、Azure Kubernetes Services などの、最も影響の大きいクラウドの脆弱性に関する調査に集中させることができます。
新規および更新されたバグ報奨金および研究プログラム
- Azure SSRF Research Challenge 2021 年 8 月に開始
- Azure Bounty Program 2021 年 8 月にインパクトのある調査シナリオを追加
- Edge Bounty Program 2021 年 10 月に Android/iOS を追加
- Microsoft Researcher Recognition Program 拡大された表彰カテゴリとスワッグ 2022 年 2 月
- Applications and On-Premises Servers Bounty Program オンプレミスの Exchange、Skype、SharePoint 追加 2022 4 月
- M365 Bounty Program インパクトのある研究シナリオを追加 2022 年 4 月
- Dynamics 365 and Power Platform Bounty Program スコープにインパクトのある研究シナリオと Power Platform を追加 2022 年 4 月
私たちは、グローバルなセキュリティ研究コミュニティとのパートナーシップが顧客を保護するために不可欠な部分であると信じており、これらのパートナーシップを強化する一環として、報奨金プログラムに投資し、進化させていきます。今年マイクロソフトと研究を共有し、何百万人ものマイクロソフトのお客様を保護するのを手伝ってくれたすべての研究者に感謝します。
Lynn Miyashita and Madeline Eckert
MSRC