Microsoftは、同社の「Online Services Bug Bounty」(オンラインサービスのバグ発見報奨金)プログラムにおいて3月1日~5月1日までの期間、「Office 365」サービスのセキュリティ上の脆弱性について報告した研究者に対して、通常の2倍となる最高3万ドルの報奨金を支払うと発表した。
この期間中は、報告された脆弱性の深刻度に応じて、1000ドルから3万ドルの報奨金が研究者に支払われる。
対象となるドメインは以下の通りだ。
- portal.office.com
- outlook.office365.com
- outlook.office.com
- outlook.live.com
- *.outlook.com
- outlook.com
通常のバグ発見報奨金プログラムでは、Microsoftは10を超えるドメインを対象として、報奨条件を満たす脆弱性ごとに500ドルから1万5000ドルを支払っている。また「Mitigation Bypass Bounty」(緩和策バイパス報奨金)プログラムで報告された脆弱性に対処する防御策に対して最高10万ドルを支払うとしている。しかし今回の発表は、Office 365スイート内のコアアプリケーションへの注力を研究者に促すものとなっている。
Microsoft Security Response Center(MSRC)のAkila Srinivasan氏とTravis Rhodes氏は、「Microsoftがホストしているエンタープライズ向け電子メールソリューションである『Exchange Online』は、あらゆるエンドポイントデバイスから電子メールやカレンダー、連絡先、タスクといった非常に重要なユーザー情報にアクセスするためのゲートウェイであるため、そこをセキュアにすることが顧客のセキュリティを強化するうえで必要不可欠となっている」と記している。
また両氏は、「Office 365管理ポータルは、テナントのアクセスを管理するためのウェブ管理インターフェースだ。このポータルは、テナントとテナント管理者をセキュリティ侵害から守るための重要な役割を担っている」とも記している。
今回の報奨金増額については、インドのゴアで現地時間2月28日〜3月4日に開催されたハッカーのカンファレンス「Nullcon Conference 2017」で詳細が発表された。
同カンファレンスでは、Googleも同社のバグ発見報奨金プログラムにおける報奨金の増額を発表した。同社は「Google」や「Blogger」「YouTube」を対象とした遠隔地からのコード実行や、その他の深刻な脆弱性に関する報奨金を3月2日から50%増額し、恒久的に最高3万1337ドルにするという。
Googleによると、深刻度の高い脆弱性の発見が難しくなってきているため、報奨金の増額が必要なのだという。同社の報奨金プログラムで、脆弱性を報告したセキュリティ研究者らに支払われた金額は、2016年でおよそ300万ドルだったという。
提供:Microsoft
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
