Microsoftは米国時間7月8日、同社のバグ報奨金プログラムで、過去1年の間にセキュリティ脆弱性を報告した341人のリサーチャーらに対して総額1360万ドル(約15億円)の報奨金を支払ったことを明らかにした。2020年7月1日から2021年6月30日までに支払われた。
今回報告された数字は、前年の金額を若干下回った。前年に支払われた報奨金の総額はその前年の3倍に及んでいた。
報奨金の最高額は、「Hyper-V Bounty Program」の20万ドル(約2200万円)だった。「Microsoft Hyper-V」は、「Windows 10」や「Windows Server 2016」、クラウド内の「Windows」や「Linux」のアプリケーションを実行するためのコンテナーに仮想化レイヤーを構築するプログラムだ。
Microsoft Security Response Center(MSRC)は、「すべてのバグ報奨金プログラムの支払い額を平均すると、1件あたり1万ドル(約110万円)を超えており、報奨に値する1200件を超える報告それぞれは、世界のセキュリティリサーチコミュニティーの人材と創造性、絶え間なく変化するセキュリティ環境の難題に立ち向かう上で非常に重要なパートナーシップを反映したものとなっている」とブログに書いている。
Microsoftは過去1年に、複数の新たなバグ報奨金プログラムを開始した。「Microsoft Teams」のプログラムでは、セキュリティに重要な影響を与える報告に対し、最大3万ドル(約320万円)が提供される。ポスト量子暗号の標準の候補「SIKE(Supersingular Isogeny Key Encapsulation)」向けのプログラムもある。
Microsoftは現在17のバグ報奨金プログラムを実施している。Hyper-Vのプログラムでは最大25万ドル(約2800万円)が提供される可能性がある。「Microsoft Identity」のプログラムも重要だ。「Microsoftアカウント」「Azure Active Directory」、選択されたOpenID標準などを対象とし、最高額は10万ドル(約1100万円)となる可能性がある。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。