本記事は、Microsoft Security Response Center bのブログ "Microsoft Bounty Programs Expansion – Azure and Project Spartan" (2015 年 4 月 23 日公開) を翻訳した記事です。
投稿: ジェイソン シャーク – プリンシパル セキュリティ ストラテジスト – MSRC
この度、マイクロソフト 報奨金プログラム (英語情報) において意義深い展開をお知らせできることを嬉しく思います。マイクロソフトは、オンライン サービス バグ発見報奨金プログラムを発展させ、Project Spartan 新規報奨金プログラムの立ち上げ、そして緩和策バイパス報奨金プログラムの改定を展開していきます。
オンライン サービス バグ発見報奨金プログラム (英語情報) への追加事項を含む本プログラムの継続的な展開について:
Azure は、マイクロソフトのクラウド プラットフォームであり、マイクロソフト クラウド サービスの基幹でもあります。
このプログラムは、Azure Virtual Machine、Azure Cloud Service、Azure Storage、Azure Active Directory などといった、多数の Azure サービスを含みます。
Sway.com (英語情報) は、ユーザーが多くのデバイスやプラットフォーム間でアイデアを表現することができる、全く新しいタイプの web アプリケーションです。
オンライン サービス バグ発見報奨金プログラムの最大支払額を増額
通常通り、重大なバグ、影響力が強く、より優れて文書化されたバグの報告に対し、最大 15,000 米ドルをお支払いします。
Windows 10 テクニカル プレビューに関連する新たな報奨金プログラムの立ち上げ:
Project Spartan バグ報奨金プログラム
今年後半の Windows 10 市場投入を機に、マイクロソフトの新しいブラウザーは、何百万のユーザーにとって、インターネットへの入り口となります。ブラウザー チームにとって、このプラットフォームを保護することは最優先事項です。
この報奨金は、セキュリティ バグのデザイン同様、リモート コード実行、およびサンドボックス回避も含まれます。
常に Windows 10 テクニカル プレビュー でリリースした最新のバージョンを利用してください。
マイクロソフトは、Project Spartan で報告されたセキュリティの脆弱性に対し、最大 15,000 米ドルをお支払いします。詳細は、本プログラムの利用規約 (英語情報) をご確認ください。
Spartan 向けの報奨金は、報告された問題の文書クオリティ、再現性の頻度、緊急度によって格付けされます。
Project Spartan バグ報奨金プログラムは、2015 年 4 月 22 日~ 2015 年 6 月 22 日 (米国時間) まで実施します。ぜひ、ご参加ください。
緩和策バイパス報奨金プログラム(英語情報)、および防御策ボーナス報奨金プログラム(英語情報) は実施中です。マイクロソフトがリリースした最新バージョンのオペレーション システム (現在 Windows 8. 1 および Windows Server 2012 R2) において、ASLR や DEP といった有効な緩和策をバイパスする新たな手法に対して最大 10,000 米ドル、報告済みのバイパスに対して実行可能な防御策には 50,000 米ドルの賞与をお支払いします。
緩和策バイパス報奨金プログラムの追加事項:
Hyper-V 回避
ゲスト マシンからホスト マシン
ゲスト マシンからゲスト マシン
ゲスト マシンからホスト DoS (非分散, 単一ゲスト マシンから)
上記の重要な報奨金プログラムへの追加事項は、クラウド環境へ向かって継続的な移行と技術の進化を反映します。この報奨金プログラムの追加事項は、マイクロソフトの厳格なセキュリティ プログラムの一環となります。これらは、Security Development Lifecycle (SDL) (英語情報)、Operational Security Assurance (OSA) framework (英語情報)、製品・サービスの定期的な侵入テスト、およびサードパーティの監査による Security and Compliance Accreditations (英語情報) と並行して発展することでしょう。
マイクロソフトは、長年に渡ってセキュリティ研究者の方々と協働してきました。私は、個人的に侵入テストや悪用緩和を実行した経験から、それが極めて困難な仕事であることを理解しており、セキュリティ研究者の方々の貢献を非常に重んじています。バグ報奨金プログラムは、脆弱性研究および防御エコシステムの一環として、ますます重要性が高まっています。マイクロソフトは、多くのユーザーを保護する最善策として、マイクロソフト 報奨金プログラムを定期的に運営していきます。
マーク ルシノヴィッチのセッション、"Assume Breach: An Inside Look at Cloud Service Provider Security" にて、本プログラムの情報を共有いたします。また、RSA カンファレンスのマイクロソフト ブースにて 4 月 23 日 14:00 (米国時間) に行われる報奨金プログラム Q&A をご聴講いただくか、Web サイト https://aka.ms/BugBounty (英語情報) にてマイクロソフト 報奨金プログラムの最新情報をご確認いただけます。また、関連規約および FAQ へのリンクも掲載していますので、ご確認ください。
皆さまのご参加をお待ちしております!
日本語にて、報奨金プログラムへの参加、およびその他の脆弱性報告を行う場合は、「脆弱性に関する情報をお寄せください」からお寄せ下さい。
ジェイソン シャーク
---------------------------------------------------------------------
■関連情報
Microsoft Bounty Programs (英語情報)
脆弱性報告窓口「脆弱性に関する情報をお寄せください」: 日本語にて、報奨金プログラムへの参加、およびその他の脆弱性報告を行う場合はこちらからお寄せ下さい。