Microsoftは木曜日、自社のバグ報奨金プログラムを大幅に拡大し、サードパーティおよびオープンソースのコードも対象に含めると発表しました。
重大な脆弱性がMicrosoftのサービスに影響を与える限り、その脆弱性を発見して報告した研究者はバグ報奨金の対象となります。
「重大な脆弱性が当社のオンラインサービスに対して直接的かつ実証可能な影響を与える場合、それは報奨金の対象となります。コードがMicrosoft、サードパーティ、あるいはオープンソースのいずれによって所有・管理されているかに関わらず、当社は問題を解決するために必要なあらゆる対応を行います」と、Microsoftの副社長Tom Gallagher氏は述べています。
Microsoftは、この「In Scope by Default(デフォルトで対象範囲内)」というアプローチは、攻撃対象領域に対するハッカーの見方と一致しており、「すべてのセキュリティ欠陥が重要である」という考え方に沿うものだと説明しています。
「AIとクラウドが第一の世界において、脅威アクターは特定の製品やサービスに限定して行動するわけではありません。彼らは、悪用しようとしているコードを誰が所有しているかなど気にしないのです」とGallagher氏は指摘します。
要するに、脅威アクターにとって関心の高い領域の弱点を探しているセキュリティ研究者は、Microsoftのバグ報奨金プログラムを通じて脆弱性レポートを提出することが歓迎される、ということです。
「Microsoftのオンラインサービスが、オープンソースを含むサードパーティコードの脆弱性によって影響を受ける場合、当社はそれを把握したいと考えています。これまでこの重要な取り組みに対して報奨金が存在しなかったとしても、当社は報奨金を提供します。これによりセキュリティ研究のギャップが埋まり、このコードに依存するすべての人々にとってセキュリティレベルが引き上げられます」とGallagher氏は述べています。
この更新は即時に適用されており、Microsoftのバグ報奨金プログラムには、デフォルトであらゆるオンラインサービスが含まれるようになりました。新しいサービスは、ローンチされた時点で対象範囲内とみなされます。
拡大されたMicrosoftのバグ報奨金プログラムは、同社が2023年に発表したSecure Future Initiativeの一環として行ってきた最新の変更であり、今週発表された2人の新たなOperating CISOの任命に続くものです。
翻訳元: https://www.securityweek.com/microsoft-bug-bounty-program-expanded-to-third-party-code/
