本記事は、Microsoft Security Response Center のブログ “Extending the Microsoft Office Bounty Program” (2017 年 9 月 15 日 米国時間公開) を翻訳したものです。
マイクロソフトは、Microsoft Office に関する報奨金プログラムを 2017 年 12 月 31 日 (米国時間) まで延長することを発表します。この延長は、期間中提出されたすべての報告に対して遡って有効です。
今までのセキュリティ コミュニティとの協業は素晴らしく、Windows の Office Insider ビルドについてもコラボレーションを継続する予定です。このプログラムでは、広範囲な配布前に脆弱性を識別する最高の機会を提供します。
プログラムの詳細
Office Insider ビルドは、最新の Office 機能およびセキュリティ イノベーションをいち早くユーザーに提供します。これら早い段階のビルドでテストを実施することで、製品がリリースされる前に課題が発見される可能性があります。これは製品の品質向上とお客様の保護につながります。
報奨金プログラムのしくみ
- 報奨金の対象となる脆弱性とその詳細については、Windows 用の Microsoft Office Insider ビルドに関する報奨金プログラムの利用規約に記載されており、以下が含まれます。
- Office の保護ビューを介した特権の昇格
- マクロをブロックするセキュリティ ポリシーをバイパスしたマクロの実行
- Outlook の添付ファイルを自動的にブロックするポリシーをバイパスしたコードの実行
- プログラムの実施期間は、2017 年 3 月 15 日から 12 月 31 日 (米国時間)
- 報奨金の支払い額の範囲は、6,000 米国ドルから 15,000 米国ドル
実施要請: secure@microsoft.com 宛に発見した脆弱性を提出し、このプログラムへの参加を表明してください!マイクロソフト報奨金プログラムの最新情報は、https://aka.ms/BugBounty および関連規約や FAQ を参照してください。
Phillip Misner,
Principal Security Group Manager
Microsoft Security Response Center
■ご報告時の注意点
マイクロソフトの報奨金プログラムへご参加される場合は、脆弱性報告はすべて、こちらのガイドラインに沿って米国 secure@microsoft.com へ直接ご報告いただく必要があります。この際、英語でのご報告が困難な場合は日本語の併記・記載でも構いません。これは、報奨金受賞者選定において、公平性の観点で重要となります。皆様のご参加をお待ちしています!
■関連情報
- マイクロソフト報奨金プログラムについて: マイクロソフト報奨金プログラム
- 今回拡張対象のプログラム: Windows 用の Microsoft Office Insider ビルドに関する報奨金プログラムの利用規約
- 脆弱性報告窓口「脆弱性に関する情報をお寄せください」: 報奨金プログラムへ参加せず、日本語で脆弱性報告を行う場合はこちらからお寄せ下さい。