マイクロソフトはバグ報奨金プログラムを刷新し、既存のバウンティ制度がない製品やサービスも含め、自社のあらゆる製品・サービスに存在する脆弱性を発見したエクスプロイトハンターに報奨金を支払う方針です。
Microsoft Security Response Center(MSRC)のエンジニアリング担当バイスプレジデントであるTom Gallagher氏は、昨日Black Hat Europeの参加者に対し、同社が「デフォルトでスコープ内(in scope by default)」と呼ぶアプローチを採用すると語りました。
新しいモデルの下では、MSRCはマイクロソフトのオンラインサービスに実証可能な影響を与える重大な脆弱性を報告した研究者に報奨金を支払います。
「コードがマイクロソフト、サードパーティ、あるいはオープンソースのいずれによって所有・管理されているかに関係なく、問題を修正するために必要なことは何でも行います」とGallagher氏は述べました。「私たちの目標は、最もリスクの高い領域、特に脅威アクターが悪用する可能性が最も高い領域に対する研究を奨励することです。」
同氏は、The Registerに対し、同じ種類の脆弱性とその深刻度であれば、マイクロソフト製品で見つかった場合と同額の報奨金が、サードパーティのコードベースで見つかった場合にも支払われると語りました。
「バグ報奨金プログラムが存在しない領域であっても、セキュリティ研究コミュニティの多様な知見を、その専門性が向かう先ならどこであれ評価し、報いるつもりです。これには、マイクロソフトが所有・管理するドメインや企業インフラも含まれます。」
この動きは、MSRCのバグ報奨金の方針転換を意味します。これまでは、どのような種類のバグが報奨金の対象となるか、またどの製品やサービスが対象となるかについて、具体的に条件が定められていました。
Gallagher氏によると、この「デフォルトでスコープ内」のアプローチにより、専用のプログラムがローンチ時に割り当てられていない新製品や新サービスであっても、バグ報奨金の対象に含まれることになります。
「『デフォルトでスコープ内』というバウンティモデルへの移行は、特にクラウドとAIの領域において、進化し続ける脅威情勢の中で、当社のセキュリティ体制を強化することを目的としています。」
マイクロソフトによれば、同社は昨年、バグ報奨金プログラムとZero Day Questコンペティションを通じて研究者に1,700万ドル以上を支払っており、今後は支出を増やす見込みです。
マイクロソフトは長年にわたりバグ報奨金プログラム開始への圧力を拒み続けた末、ようやく2013年になって同プログラムを立ち上げました。このプロセスについて、バグ報奨金導入のロビー活動を主導したKatie Moussouris氏は、「カエルを茹でるようなもの」だったと表現しています。
それ以来、多くの研究者がマイクロソフトのバグ報奨金プログラムによって金銭的な恩恵を受けてきましたが、そうした幸運に恵まれなかった人々からよく聞かれる不満には、対応の遅さや疑わしいトリアージ結果などがあります。
苛立ちを募らせた一部の専門家は、MSRCに対して自らの投稿プロセスへの不満を伝えるために、大掛かりな行動に出たこともあります。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/12/microsoft_more_bug_payouts/
