本記事は、Microsoft Security Response Center のブログ “Microsoft Bounty Programs Expansion – Microsoft Edge Remote Code Execution (RCE) Bounty” (2016 年 8 月 4 日米国時間公開) を翻訳した記事です。
本日、マイクロソフト報奨金プログラムを新たに拡張することをお知らせします。マイクロソフトは、Windows Insider Preview ビルド上の Microsoft Edge におけるリモートでコードが実行される脆弱性に関して、報奨金プログラムを開始します。
この報奨金プログラムによりマイクロソフトとセキュリティ研究コミュニティのパートナーシップは継続され、開発プロセスのプレリリースの段階でマイクロソフトのプラットフォームを安全に保つことに貢献します。Windows Insider program は Windows の未来を形作るために設計され、新しいセキュリティ機能や緩和策などを含む、最新の機能を提供します。Insider Preview に含まれる Windows の新しい機能に関する最新の情報については、Windows 10 Insider Program Blog を参照してください。
報奨金プログラムがリリース前のソフトウェアを対象としているため、既にマイクロソフトが解決するために取り組んでいる脆弱性の例が報告される可能性があります。その場合、これらの脆弱性を発見する労力に対する謝礼として、最初に問題を報告した外部の研究者に対して最大 1,500 米国ドルを支払います。
Microsoft Edge のリモートでのコード実行 (RCE) の脆弱性に関する報奨金プログラムの詳細については、https://aka.ms/bugbounty/ (英語情報) を参照してください。プログラムのハイライトは、以下のとおりです。
- Windows Insider Preview 上の Microsoft Edge におけるリモートでコードが実行される脆弱性が対象
- Chakra のオープン ソース セクションも含む
- 報奨金プログラムの実施期間は 2016 年 8 月 4 日から 2017 年 5 月 15 日 (米国時間)
- 報奨金の金額は、500 米ドルから 15,000 米ドルの範囲
- もし研究者が、条件を満たす脆弱性で既にマイクロソフト内部で発見されたものを報告した場合、最初の発見者に対して最大 1,500 米国ドルを支払う
- 脆弱性は、最新の Windows Insider Preview (Slow track) で再現可能でなければならない
この新しい報奨金プログラムは、現在実施中の Online Services 報奨金プログラム、および Mitigation bypass and Bounty for Defense 報奨金プログラムに追加されます。これらの拡張は、マイクロソフトにおける厳格なセキュリティ プログラムの一環となります。報奨金プログラムは、マイクロソフトの Security Development Lifecycle (SDL)、Operational Security Assurance (OSA) フレームワーク、マイクロソフトの製品とサービスに対する定期的な侵入テスト、およびサード パーティの監査によるセキュリティとコンプライアンス認証を補完するものです。
マイクロソフト報奨金プログラムの最新情報は、こちらの Web サイトおよび関連規約や FAQ を参照してください。
Start your fuzzers!
ジェイソン シャーク
————————–
■ご報告時の注意点
マイクロソフトの報奨金プログラムへご参加される場合は、脆弱性報告はすべて、こちらのガイドラインに沿って米国 mailto:secure@microsoft.comへ直接ご報告いただく必要があります。この際、英語でのご報告が困難な場合は日本語の併記・記載でも構いません。これは、報奨金受賞者選定において、公平性の観点で重要となります。 皆様のご参加をお待ちしています!
■関連情報
- マイクロソフト報奨金プログラムについて: Microsoft Bounty Programs (英語情報)
- 今回拡張対象のプログラム: Microsoft Bounty Programs Expansion – Microsoft Edge Remote Code Execution (RCE) Bounty (英語情報)
- 脆弱性報告窓口「脆弱性に関する情報をお寄せください」: 報奨金プログラムへ参加せず、日本語で脆弱性報告を行う場合はこちらからお寄せ下さい。