本ブログは、What to Expect When Reporting Vulnerabilities to Microsoft の抄訳版です。最新の情報は原文を参照してください。
マイクロソフト セキュリティ レスポンス センター (MSRC) は、お客様、コミュニティ、マイクロソフトをセキュリティとプライバシーに関する脅威から保護することを使命としています。その方法の 1 つが、セキュリティ研究者と協力してマイクロソフトのサービスや製品のセキュリティ脆弱性を発見し、お客様にとって脅威となる脆弱性を修正することです。多くの研究者はこのような問題をさまざまな企業に報告していますが、問題を受け取り、評価し、修正するプロセスは、それぞれに企業によって大きく異なります。セキュリティ研究者が脆弱性を報告した際、マイクロソフトのプロセスがどのように機能するのか、私たちのプロセスを通じてレポートの提出を早めるために何ができるのか、そして報告後にどのようなことが期待されるのかを共有します。
レポートを提出する前に、報告する問題がセキュリティ脆弱性の定義に合致しているかを確認してください。問題がマイクロソフトのセキュリティサービスの定義に合致していることを確認したら、当社の Researcher Portal にアクセスの上、ログインし、報告してください。アカウントをまだお持ちでない場合は、その時点でアカウントを作成することができます。
私たちのポータルを使用することで、最良のエクスペリエンスが得られ、研究者と MSRC のコラボレーションがより迅速かつ容易になります。ポータルは、問題を迅速に再現してレポートを対応し、最終的に脅威の原因となる脆弱性を修正するために必要な情報を提供するための、安全でガイド付きの方法を提供します。また、このポータルは、高品質なレポートを作成するために必要な追加情報について案内します。高品質なレポートは、迅速な対応に役立ち、より高額なバグ報奨金の対象となる場合があります。
複数のセキュリティ脆弱性を発見した場合、それぞれの問題に対して別々のレポートを作成してください。そうすることで、それぞれの報告に対して、より迅速な対応と解決策を提供することができます。
脆弱性を報告した後の流れは以下の通りです:
トリアージ : 私たちのチームは、あなたのレポートがセキュリティ脆弱性であることを確認し、関連する製品エンジニアリングチームに割り当てます。これには通常 2 営業日かかります。オートコミュニケーションをオンに設定した場合、ケースが対応不可としてクローズされるか、さらなる評価が必要になったときに、トリアージ チームからメッセージが届きます。このプロセスの間、ポータルには 「New」 と表示されます。
ケースの割り当て : 報告されたセキュリティ脆弱性が当社のサービス基準を満たす場合、ケース番号とケース マネージャーが割り当てられます。ケース マネージャーは、ケースの評価、脆弱性に対処するための計画の作成を監督し、その過程で発生する質問にお答えします。
レビュー/再現 : 私たちのチームは、報告された問題の再現を試み、深刻度とセキュリティへの影響を評価します。このプロセスの間、ポータルには 「Review/Repro」 と表示されます。この作業には最大で1~2週間かかることがあります。2 週間以内に返信がない場合は、ご連絡ください。レポートを提出してから何もメッセージが届いていない場合、迷惑メールフォルダを含め、MSRC からの連絡が届いているかを再度、確認してください。
ケースが深刻、または重大と評価された場合は、適切な製品エンジニアリングチームに送られ、問題を修正します。重要度が低、または中と評価された場合や、設計上の問題、または当社が修正しないと判断した問題の場合、ケースは開発段階に進みません。その代わり、担当のケース マネージャーからの連絡によってこの決定をお知らせし、ケースをクローズします。この段階でケースがクローズされると、ポータルでは 「Complete」 と表示されます。このシナリオにおいては、ステータスが 「Complete」 であっても、報告された脆弱性を修正したわけではありません。
修正プログラムの開発 : この段階は、修正プログラムの準備とリリースチームとの調整に最も時間がかかります。この状態のレポートは、Researcher Portal で 「Develop」 と表示されます。マイクロソフトのケース マネージャーは、このステージの間、製品エンジニアリングチームと連絡を取り、通常よりも時間がかかる場合にはお知らせします。ただし、この段階では、更新の頻度は低くなります。この時期の情報開示について質問がある場合は、担当のケース マネージャーにお問い合わせください。
また、ケースの評価が完了すると、マイクロソフトのバグ報奨金チームが、あなたの提出したバグが報奨金の対象となるかどうかを審査します。提出されたケースがバグ報奨金の対象となった場合、メールにて報奨金の通知をお送りします!マイクロソフト バグ報奨プログラムから初めて報奨金を受け取る場合、報奨金を受け取るために支払いプロバイダーのアカウントを設定する必要があります。この方法については、報奨金メールにてご案内いたします。詳細については、Microsoft Bounty Program FAQ を参照してください。
プレリリース プロセス : ケースのステータスが 「Release」 となっている場合、リリースの準備をしています。これは、毎月の パッチ チューズデーのリリースや、その他のサービス アップデートの一部として正式にリリースされるのを待機していることを意味します。レポートがこの状態になると、ケース マネージャーは修正を報告したことを通知し、研究者へ謝辞の情報を確認します。
完了 : ケースの修正が完了し、お客様に公開されると、ポータルに 「Complete」 と表示されます。おめでとうございます!ケース マネージャーから、脆弱性が修正され、ケースがクローズされたことが再度通知されます。これ以降、ご希望であれば、調査結果について自由に公開することができます。また、特に断りがない場合を除き、研究者への謝辞のページで、あなたの功績を称えます。
上記のいずれかの段階において、ケースはすぐに問題を修正する必要がないと判断する場合があります。この決定については、担当のケース マネージャーが連絡し、エンジニアリング チームがソフトウェアの次回以降のリリースを開発する際に、あなたのレポートを考慮することになります。
以下の表は、Researcher Portal 内の各ステータスが、レポートに対してどのような意味を持つかを明確にします。プロセスを通じて、マイクロソフトから質問や詳細な確認が必要な場合はご連絡いたします。レポートについて質問がある場合や、さらに詳しい情報が必要な場合は、担当マネージャーからの最新の電子メールに返信してください。
Researcher Portal 内の各ステータス |
状況 |
New |
投稿をトリアージしています。トリアージが完了すると、通常 2 営業日以内に結果をメールでお知らせします。提出された情報が当社のサービシング基準を満たすと判断した場合、提出された情報に MSRC のケース番号とケース マネージャーが割り当てられます。ケース マネージャーは、その評価と脆弱性に対処するための計画の作成を監督し、その過程で発生する質問にお答えします。 |
Review/Repro |
ケースを再現し、深刻度とセキュリティへの影響を評価しています。 このフェーズは、お客様のレポートで共有された詳細と問題の複雑さに応じて、最大 2 週間かかる場合があります。 |
Review/Repro - Duplicate |
ケースの再現と評価に取り組んでいます。提出されたケースは、すでに取り組んでいる別ケースと同じ修正が必要であると判断しました。提出されたレポートの進捗状況に応じて、引き続き最新の情報をお知らせします。 |
Develop |
ケースの評価を完了し、評価と潜在的な修正のためにエンジニアリングチームに送りました。 |
Develop – Duplicate |
ケースの評価を完了し、評価と潜在的な修正のためにエンジニアリングチームに送りました。提出されたケースは、すでに取り組んでいる別ケースと同じ修正が必要であると判断しました。 |
Pre-Release |
エンジニアリングチームはケースの修正を完了し、リリース日を設定しています。今後の CVE またはOnline Services Acknowledgment に関連する承認した情報の変更をご希望の場合は、担当のケース マネージャーにお知らせください。 |
Pre-Release - Duplicate |
ケースの修正に取り組んでおり、ケースの修正のリリース日を設定しました。あなたのレポートが、別ケースと同じ修正を必要とする場合も、問題が修正された時点で、公開の感謝と承認を受け取ります。 |
Complete |
ケースは解決され、ケース マネージャーから修正の詳細を記載したメールが届きます。 |
Complete – Duplicate |
ケースは解決され、ケース マネージャーから修正の情報を記載したメールが届きます。ケースは、他のケースと同じ方法で解決しました。 |
Complete - NA |
提出されたレポートは MSRC のサービス基準を満たさないため、ケースをクローズしました。ケースの詳細を記載したメールをお送りします。 |
このブログの投稿が、私たちのプロセスを通じて報告をスピードアップする方法、研究者のレピュテーション スコアと適用される報奨金をより大きくする方法、私たちのプロセスについての理解、そして私たちがトリアージ、再現、開発、そして修正プログラムをリリースする間に期待することを理解するのに役立てば幸いです。その他、ご不明な点がございましたら、よくある質問 (FAQ) のページをご覧ください。