マイクロソフトの新たな方針では、マイクロソフトのサービスに関わるあらゆるものが、その出自にかかわらずバグバウンティの対象となる。
今日のAIを活用する攻撃者は無差別だ。特定の企業、製品、サービスに限定することなく、脆弱性があるところならどこへでも向かう。これに対抗するため、マイクロソフトはサイバーセキュリティ戦略を「デフォルトでスコープ内(In Scope by Default)」と呼ぶ方針へと転換している。
今後は、マイクロソフトのオンラインサービスに対して「実証可能な影響」を持つ「重大な脆弱性」であれば、いずれも報奨金支払いの対象となる。これはマイクロソフトが所有・管理するコードだけでなく、サードパーティやオープンソースによって提供されるものにも適用される。
脅威アクターは「悪用しようとするコードの所有者が誰かなど気にしない」と、Microsoft Security Response Centerのエンジニアリング担当バイスプレジデントであるTom Gallagher氏は、新たなセキュリティポリシーを発表するブログ投稿の中で述べている。「同じアプローチが、当社と協力してお客様を保護するための重要なインサイトを提供し続けているセキュリティコミュニティにも適用されるべきです。」
「研究を促進する」ことが目標
「In Scope by Default」は金曜日にBlack Hat Europeで発表され、Gallagher氏はマイクロソフトが「顕在化した問題を是正するために必要なことは何でも行う」と述べた。
この戦略的な転換は、攻撃者がAIツールに支えられて攻撃手法を絶えず高度化させている中で行われたものだ。マイクロソフトは最近、企業や政府機関にも波及したSharePointのゼロデイ脆弱性の影響を受けたほか、10月には同社自身のセキュリティアップデートがさまざまな障害を引き起こした。そして本日、マイクロソフトが独自の修正を開発するまでのつなぎとして、攻撃者にRemote Access Connection Manager(RasMan)サービスをクラッシュさせる能力を与える新たに発見されたWindowsのゼロデイ脆弱性に対し、サードパーティから無償の非公式パッチが提供された。
マイクロソフトは、こうした脅威に対抗するためにさまざまな戦術を採用してきた。Gallagher氏は、2024年に同社がバグバウンティプログラムとライブハッキングイベントを通じて1,700万ドル以上を支払ったことを指摘し、今回の戦略転換により報奨金の対象範囲が拡大すると述べた。定義されたスコープ内のバグにのみ報奨金を提供するのではなく、すべてのオンラインサービスに関する問題が、サービスのリリースと同時にデフォルトで対象に含まれるようになる。
「私たちの目標は、特に脅威アクターが悪用する可能性が最も高い、リスクの高い領域に対する研究を促進することです」とGallagher氏は述べた。
対象範囲には今後、次のものが含まれる:
- マイクロソフトが所有するドメインおよびクラウドサービス。マイクロソフトの内部事情を知らないセキュリティ研究者も、合意されたルール・オブ・エンゲージメントに基づき、同社のインフラを標的とすることが推奨される。
- オープンソースを含むサードパーティコード。この領域に既存のバグバウンティが存在しない場合、マイクロソフトが新たに提供する。サードパーティコードの脆弱性を特定することは、「このコードに依存するすべての人々」の水準を引き上げるのに役立つと、Gallagher氏は指摘した。
この方針転換は、特にマイクロソフトのような規模の企業にとって「非常に重要だ」と、Info-Tech Research GroupのテクニカルカウンセラーであるErik Avakian氏は述べている。新たなデフォルトの包含ポリシーはプロセスとガバナンスによって支えられており、テックジャイアントである同社の「巨大で異種混在なエコシステム」全体に適用されている。
「マイクロソフトは、マイクロソフトのサービスに影響を与える場合には、サードパーティやオープンソースの依存関係を明示的にスコープ内に取り込んでおり、これは実際の攻撃が、きれいな製品境界ではなく共有インフラを横断して行われるという現実を反映しています」とAvakian氏は述べた。
研究者は、評価および協調的開示のために調査結果を提出することが歓迎されている。協調的開示とは、ベンダーが公表前に問題を診断・修正できるよう、脆弱性を非公開で報告する慣行のことだ。
マイクロソフトとそのパートナーは、Azure仮想マシン(VM)に対する脆弱性評価の実施、サージキャパシティのテスト、システム境界や共有サービスコンテナからの脱出の試行、セキュリティ監視・検知システムのテスト、条件付きアクセスの評価など、さまざまなレッドチーミング活動を推奨する責任あるセキュリティリサーチのためのルール・オブ・エンゲージメントに従っていると、Gallagher氏は述べた。
しかし、これらのルール・オブ・エンゲージメントでは、レッドチームが自分のものではない認証情報を使用またはアクセスすること、マイクロソフト社員に対するフィッシング攻撃を行うこと、サービス拒否(DoS)テストや過剰なトラフィックを発生させるその他のテストを実施すること、またはユーザー自身のサブスクリプションに含まれないストレージアカウントとやり取りすることを禁止している。
このアプローチの長所と短所
このスコープの拡大自体は必ずしも新しいものではないと、Info-TechのAvakian氏は指摘する。クラウドサービスプロバイダー(CSP)、金融機関、SaaS企業は、より狭いスコープの文言を公開し、多くのケースを裏ルートでの交渉によって処理している。しかし、その多くはいまだに研究者の善意や社内の判断に大きく依存している。
マイクロソフトのより広いスコープはやや異なっており、「これはスコープ内なのか?」といったグレーゾーンの議論や、時間を浪費し研究者との摩擦を生むやり取りを減らす可能性があると、Avakian氏は述べる。また、より明確なシグナルも提供する。失格を恐れなければ、人々は初期段階の調査結果を提出しやすくなる。これは防御側にとって有益であり、リサーチコミュニティとのより強固な信頼関係の醸成にもつながる。
「これは『私たちは問題についての報告を歓迎する』という明確なメッセージを送るのに役立ち、社内的にはオーナーシップを強制します」とAvakian氏は述べる。「一度何かがデフォルトでスコープ内になれば、成熟度を高めることを促すのです。」
しかし、件数が増えることで難しくなる可能性があり、低品質なレポートや、推測的あるいは「曖昧な」調査結果が増えることにつながりかねないと同氏は言う。すべてを緊急事態として扱ったり、深刻度が適切に伝達されなかったりすると、エンジニアリングチームはすぐに燃え尽きてしまう可能性がある。
「しかし、このモデルは、深刻度に関する規律が極めて堅固であれば機能し得ます」とAvakian氏は述べた。
一方で、防御側のチームが過負荷になれば、攻撃者が間接的に利益を得る可能性もある。ノイズが真のシグナルをかき消し、トリアージのバックログによって修正のスピードが低下するおそれがあるからだ。「言い換えれば、運用上の停滞が攻撃者の味方になり得るのです」とAvakian氏は述べた。
研究者側も、型破りな攻撃経路のウサギ穴に入り込むかもしれず、倫理観の低いハッカーは「低労力の調査結果」を大量にばらまき、曖昧さを利用して報奨金を要求したり、あるいは拒否されたことをマイクロソフトがセキュリティを無視しているかのように公に印象づけようとするかもしれないと同氏は指摘する。
最終的に、「スコープとは本質的にガバナンス上の決定です」とAvakian氏は述べ、企業が支払い額の削減、露出の最小化、ブランドイメージの保護を主目的として脆弱性プログラムを書き続けていると、後れを取ることになると指摘した。
「マイクロソフトは、守りのあいまいさよりも運用の明確さの方が優れているというメッセージを発信しています」とAvakian氏は述べる。しかし、「デフォルトでスコープ内」が機能するのは、その背後に成熟度がある場合に限られる。
「すでに強固なガバナンス、トリアージプロセス、一貫した深刻度モデル、エンジニアリングの責任体制が整っていないのであれば、問題が生じます」と同氏は言う。「自動化、情報の充実化、そして経験豊富な人間の判断がこれまで以上に重要であり、マイクロソフトは明らかにその長期戦に投資しているように見えます。」
