かつては報奨金は個人の首にかけられていましたが、今ではバグにかけられているように感じます。多くの企業が、自社製品の問題を発見・開示した研究者に報奨金を支払うプログラムを導入しています。マイクロソフトは、新たなMicrosoft Identity Bounty Programでこのリストに新たなプログラムを追加しました。このプログラムは、同社の多くのプラットフォームで使用されているIDサービスの欠陥を発見した人に、最大10万ドルの報奨金を支払うというものです。
Microsoftのエコシステムは、人々の生活の重要な部分を包み込む可能性があります。PCでWindows 10を使用し、Outlookでメールを管理し、Officeでビジネスを行う人もいるでしょう。これらの製品の多くは機密性が高いため(メールが漏洩したり、次なる傑作小説が完成前に読まれたりすることは誰も望んでいません)、Microsoftにとってユーザーの個人情報を保護することは不可欠です。だからこそ、Microsoftはこの個人情報報奨金プログラムを発表したのです。
この新しいプログラムは、AzureからOutlookまで、Microsoftの様々なウェブサイトの脆弱性に加え、iOSおよびAndroidデバイスの二要素認証に使われるMicrosoft Authenticatorアプリにも特化しています。また、一部のOpenID標準とそのMicrosoftによる実装における問題も対象としています。(Microsoftは、すべてのOpenID標準で発見されたバグの費用を負担するつもりはありませんが、すべてのOpenID標準を採用しているわけではないことを考えると、当然のことです。)
報奨金は、脆弱性の深刻度と発見場所に基づいて決定されます。報奨金は、一部のカテゴリーでは不完全な報告に対して最低500ドルから、多要素認証の回避に関連する「高品質な報告」に対しては最高10万ドルまでと幅があります。マイクロソフトが求めるもの、研究者に時間を無駄にさせたくないこと、そして報奨金の額については、このプログラムに関するページで詳しくご覧いただけます。
これは、マイクロソフトのバグ報奨金制度の最新のものに過ぎません。同社は、Windowsのセキュリティ問題や、プロセッサのMeltdownやSpectreといった投機的実行の脆弱性を発見した研究者にも報酬を支払います。他の多くの企業も自社製品で同様の取り組みを行っています。2018年という時代、誰かが何らかのセキュリティホールを見つけるのは当然のことです。こうしたプログラムは、犯罪的な悪用ではなく、責任ある情報開示を奨励しています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
