Microsoftは、ラスベガスで開催されたセキュリティカンファレンス「Black Hat」の場を借りて、バグ発見の報奨金に対する新たなアプローチを明らかにした。
Microsoftでセキュリティアーキテクトを務めるJason Shirk氏は米国時間8月5日、同社のバグ発見報奨金プログラムの変更を発表するとともに、Black Hatカンファレンスでデモを行うと述べた。Shirk氏はブログ投稿の中で、「Microsoft Bounty Programs」を見直して多くの変更を加えたと述べている。
「Mitigation Bypass Bounty」(緩和策バイパス報奨金プログラム)で報告されたエクスプロイトに対する防御のアイデアを募るプログラム「Bounty for Defense」(防御策ボーナス報奨金プログラム)の報奨金は、5万ドルから10万ドルに引き上げられた。Microsoftはこの変更について、「防御体制を攻撃する側と同水準に引き上げる」ものだと述べている。その一環として同社はすでに、「Windows」OSへの「真に新しい」エクスプロイトに対して、最大10万ドルの報奨金を提供している。
Microsoftは次のように述べている。「従来のバグ報奨金プログラム単独でやってきたように、脆弱性を一度に1件ずつ捕捉するのではなく、もっと早くから新しい悪用テクニックについて認識できれば、Microsoftがセキュリティを飛躍的に改善させる助けになる」
「新たな防御者」は、その研究に対して「平等」に報酬を与えられるべきだとMicrosoftは考えている。
Microsoftはまた、認証セキュリティの脆弱性への対処にも一段と力を入れる。研究者が認証の脆弱性を発見した場合、8月5日~10月5日の「ボーナス」期間内に「Online Services Bug Bounty」(オンラインサービスのバグ発見報奨金)プログラムを通じて報告すれば、報奨金は2倍になる。
つまり、この2カ月間にMicrosoftサービスアカウントや「Azure Active Directory」で認証の脆弱性を発見すれば、報奨金は通常の500~1万5000ドルではなく、最大3万ドルになるということだ。
最後に、Microsoftは「Online Services Bug Bounty」の対象ドメインリストに「RemoteApp」を追加する。RemoteAppは、「Microsoft Azure」上でホストしている「Windows」アプリをさまざまなデバイスで実行するために用いられている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
