マイクロソフトがWindowsバウンティプログラムを発表

マイクロソフトは、セキュリティの脆弱性を発見して公開した研究者に最大 25 万ドルを支払う新しい Windows バウンティ プログラムを発表した。

このバグ報奨金プログラムでは、研究者にいくつかの主要分野、すなわちHyper-V、Mitigation Bypass、Windows Defender Application Guard、Microsoft Edge、そしてWindows Insider Programで提供されるすべての機能に焦点を当てた調査を依頼します。報奨金は、脆弱性が発見された場所と深刻度に応じて異なります。Edgeの軽微な脆弱性であれば500ドル、Hyper-Vの重大な脆弱性であれば最大25万ドルが支払われます。これは非常に大きな金額です。

しかし、脆弱性をできるだけ早く知るには、まさにそれが必要なのです。Windowsユーザーをより安全にしたいという理由だけでセキュリティ問題を公表する人もいれば、それで生計を立てたいから脆弱性を探し求める人もいます。マイクロソフトのような企業は、前者のグループの利他主義に頼るだけでは不十分だと気づき、後者のグループの財布にも訴えかける金銭的なインセンティブも提供する必要があるのです。

そのため、QualcommやNetgear、欧州議会、Fiat Chryslerなど、多くの企業が最近、バグ報奨金プログラムを導入または拡大しています。Windows報奨金プログラムは、Microsoftの他の取り組みの拡大版です。Microsoftは発表の中で次のように述べています。

2012年以降、Windowsの様々な機能を対象に、複数のバグ報奨金プログラムを実施してきました。セキュリティは常に変化しており、脆弱性の種類や優先度は時期によって異なります。マイクロソフトはバグ報奨金プログラムの価値を強く信じており、セキュリティ機能の強化に役立つと考えています。

マイクロソフトは、このプログラムについていくつかのハイライトも発表しました。中でも特に注目すべきは、「顧客のプライバシーとセキュリティを侵害する、重大または重要なクラスのリモートコード実行、権限昇格、または設計上の欠陥には報奨金が支払われる」という点です。報奨金は高額ではないかもしれませんが、何かしらの成果は得られます。また、同社はWindows報奨金プログラムは同社の裁量で運営され、いつでも終了する可能性があることも指摘しました。

もう一つ注目すべき点は、Microsoftが既に発見した脆弱性を報告した場合でも、報奨金を支払ってくれることです。同社は、発見が新規だった場合に支払われるはずだった最高額の「最大10%」を支払うと述べています。繰り返しますが、これは大した金額ではないかもしれませんが、Microsoftが研究者に対し、脆弱性が新しいかどうかわからないからといって放置するのではなく、すべてを開示するよう促そうとしていることは明らかです。

Windowsバウンティプログラムを含むMicrosoftのバグ報奨金プログラムの詳細については、同社のセキュリティテックセンターをご覧ください。脆弱性を発見された場合は、[email protected]までメールでご連絡いただくことも可能です。Windowsバウンティプログラムの支払いに関する基本情報については、以下をご覧ください。