- Microsoftの「In Scope by Default」バグ報奨金プログラムが投稿受付を開始
- 独自コード、サードパーティ、オープンソースのコードをすべて対象に含む
- Microsoftは昨年、Googleを上回る支払い(1,700万ドル)
Microsoftは同社のバグ報奨金プログラムに関する重要な変更を発表した。セキュリティ研究者は、これまで正式な報奨金が用意されていなかった場合でも、同社のすべての製品およびサービスにわたって重大な脆弱性レポートを提出できるようになる。
新しい「In Scope by Default(デフォルトで対象)」のアプローチは、Black Hat Europeで同社Security Response Centerのエンジニアリング担当VPであるトム・ギャラガー氏によって発表された。
ギャラガー氏は、Microsoftが昨年、Microsoftが所有するドメインやサービスに加え、Microsoftのオンラインサービスに影響を与えたサードパーティコードも含め、「高い影響をもたらすセキュリティ研究」に対して報奨金として1,700万ドルを支払ったと説明した。
「In Scope by Default」
「重大な脆弱性が当社のオンラインサービスに直接かつ明確に影響する場合、報奨金の対象となります」とギャラガー氏は書いている。
同氏は、最終的にMicrosoftが「最もリスクの高い領域に関する研究を促進したい」と考えており、その対象はMicrosoftのコード、サードパーティのコード、オープンソースのコードにまたがると説明した。
現在報奨金プログラムの対象になっていない領域については、支払いは深刻度に基づいて算定されるという。つまり、同じ種類の脆弱性であれば、それがMicrosoftのコードで見つかったか外部で見つかったかに関係なく、同じ報酬が得られることを示唆している。
Microsoftがバグ報奨金プログラムを拡大するのは大きなニュースであり、現在Google Cloud、Android、Chromeといった中核製品に重点を置くGoogleを大きく引き離すものだ。
Googleは最近、Gemini、Google検索、Workspace向けにAI特化の報酬も追加したが、それでもなお、Microsoftの「In Scope by Default」のように完全にオープンではなく、カテゴリーによって定義されたままだ。
Googleは2024年に、脆弱性報奨プログラムのインセンティブとして1,180万ドルを支払った。
Microsoftのバグ報奨金プログラムの変更は、2025年を通じた一連の更新を受けたものだ。これには、Copilot Bounty Program、Identity Bounty Program、Defender Bounty Program、M365 Bounty Program、Dynamics 365 & Power Platform Bounty Program、Windows Bounty Programの拡張および改定が含まれる。
