本ブログは Zero Day Quest 2025: $1.6 million awarded for vulnerability research の抄訳版です。最新の情報は原文を参照してください。
今月、Microsoft Security Response Center は、業界最大規模のライブハッキングコンテストであるマイクロソフト Zero Day Quest を開催し、世界で最も才能のあるセキュリティ研究者のみなさんを迎えました。初めて開催したこのイベントでは、セキュリティコミュニティが Copilot とクラウドに関する最も影響力のあるセキュリティシナリオに焦点を当て、最大 400 万ドルの賞金が授与されます。
今回のリサーチチャレンジとライブイベントでは、研究チャレンジとライブイベントで 600 件以上の脆弱性の報告を受け、160 万ドル以上を授与しました。私たちのチームは、潜在的な脆弱性の評価を継続し、必要に応じて軽減策を講じていきます。
予選ラウンドでは、直接イベントに参加した研究者が自分の研究を提出し、通常のバグバウンティの褒賞に加え、追加のインセンティブを獲得する機会がありました。その後、選ばれた研究者グループは、レドモンドとオンラインで開催されたライブイベントに参加しました。ライブイベントでは、マイクロソフト製品の capture-the-flag チャレンジ、ソーシャルイベント、マイクロソフトのセキュリティチームと技術的なディスカッションを行いました。
100 人近くの研究者がトレーニングセッションに参加しました。トレーニングセッションでは、AI レッドチームによる AI バグハンティング、エンジニアリングチームによる SSRF トレーニング、バウンティチームからのヒントやアドバイスを提供しました。
この初開催の成功により、私たちは研究コミュニティとのパートナーシップを深めるために、2つの重要な投資を行います。
- 引き続き、すべての Copilot のバウンティ報酬は 2 倍です。影響力の大きい研究に対する追加の褒賞により、引き続き AI の研究を奨励します。詳細は、Copilot バウンティプログラム のページを参照してください。
- Zero Day Quest は、新しい研究課題、報奨金倍率、マイクロソフトの製品エンジニアリング チーム、セキュリティ チーム、セキュリティ研究コミュニティ間の緊密に連携し、毎年開催します。
Zero Day Quest は、マイクロソフトの広範囲なバグ報奨金プログラムの一部です。2023 年には責任を持って脆弱性を報告し、お客様に影響を与える前に対処することを支援した研究者に 1,600 万ドル以上を授与しました。研究コミュニティには、協調的な脆弱性開示 (CVD) を遵守することをお願いするとともに、継続的な学習を支援するために、緩和策を実施後に記事を公開することも奨励しています。Secure Future Initiative (SFI) と透明性の取り組みの一環として、すべての重要な問題に対して CVE を発行します。本イベントと今後のイベントから得た知見は、クラウドと AI のセキュリティ (既定、設計、運用) の向上に役立てるため、マイクロソフト社内全体で共有されます。Secure Future Initiativeの詳細については、最新の進捗レポート をご覧ください。
私たちは、セキュリティコミュニティとの継続的なパートナーシップを楽しみにしており、これからも私たち全員が協力してすべての人のセキュリティを引き上げることに取り組んでいきます。
Tom Gallagher
VP of Engineering, Microsoft Security Response Center (MSRC)