Microsoftは現在、自社が提供するオンラインサービスに重大な脆弱性を発見したセキュリティ研究者に対して報奨金を支払っており、そのコードがMicrosoft製かサードパーティ製かを問わず対象としています。
この方針転換は、水曜日に開催されたBlack Hat Europeで、Microsoft Security Response Centerのエンジニアリング担当バイスプレジデントであるTom Gallagher氏によって発表されました。
Gallagher氏が説明したように、攻撃者は脆弱性を悪用する際にMicrosoftのコードとサードパーティコンポーネントを区別しないため、同社はバグ報奨金プログラムを拡大し、すべてのMicrosoftオンラインサービスをデフォルトで対象としました。これにより、新しいサービスはリリースと同時に対象範囲に含まれます。
このプログラムには、Microsoftのオンラインサービスに影響を与える場合、商用またはオープンソースコンポーネントを含むサードパーティ製の依存コンポーネントに存在するセキュリティ上の欠陥も含まれるようになりました。
「本日より、重大な脆弱性が当社のオンラインサービスに直接的かつ実証可能な影響を与える場合、それは報奨金の対象となります。コードがMicrosoft、サードパーティ、あるいはオープンソースのいずれによって所有・管理されているかに関わらず、問題を解決するために必要なあらゆる手段を講じます」とGallagher氏は述べています。
「私たちの目標は、特に脅威アクターが悪用する可能性が最も高い領域など、リスクが最も高い領域に対する研究を促進することです。報奨金プログラムが存在しない領域であっても、セキュリティ研究コミュニティの多様な洞察を、その専門性が及ぶあらゆる場所で評価し、報いるつもりです。」
Microsoftは過去12か月間で、344人のセキュリティ研究者に対し、合計1,700万ドル超の報奨金を支払っており、その前の年には343人のセキュリティ研究者に対してさらに1,660万ドルを支払いました。
今回の発表は、同社の事業全体でセキュリティを最優先事項とすることを目的とした、Microsoftのより広範なSecure Future Initiativeの一環です。
同じイニシアチブの一部として、MicrosoftはWindows版のMicrosoft 365およびOffice 2024アプリですべてのActiveXコントロールを既定で無効化し、さらにMicrosoft 365のセキュリティ既定値を更新して、レガシー認証プロトコル経由でのSharePoint、OneDrive、Officeファイルへのアクセスをブロックしました。
さらに最近では、会議中の画面キャプチャ試行をブロックする新しいTeams機能の展開を開始し、スクリプトインジェクション攻撃からEntra IDのサインインを保護する計画も発表しました。
