Microsoftは.NETバグバウンティプログラムを拡大し、一部の.NETおよびASP.NET Coreの脆弱性に対する報奨金を最大40,000ドルに引き上げました。
MicrosoftのResearcher Incentives and Bounty担当シニアプログラムマネージャー、Madeline Eckert氏は、これらの変更は.NETの脆弱性の発見および悪用に関わる複雑さをより正確に反映することを目的としていると述べました。
「Microsoft .NETバウンティプログラムの大幅なアップデートを発表できることを嬉しく思います。これらの変更により、プログラムの対象範囲が拡大され、報奨金の構造が簡素化され、セキュリティ研究者にとって大きなインセンティブが提供されます」とEckert氏は述べています。
「.NETバウンティプログラムでは、.NETおよびASP.NET Core(BlazorやAspireを含む)に影響を与える脆弱性に対して、最大40,000米ドルの報奨金が提供されます。」
本日より、Microsoftは重大なリモートコード実行や権限昇格のセキュリティ脆弱性に対して最大40,000ドル、重大なセキュリティ機能のバイパスに対して30,000ドル、重大なリモートサービス拒否(DoS)バグに対して最大20,000ドルを支払います。
.NETバグバウンティプログラムは.NET Frameworkの脆弱性をより広くカバーするよう拡大され、以下が対象となりました:
- サポートされているすべての.NETおよびASP.NETのバージョン、
- F#などの関連技術、
- .NET Framework向けのサポートされているASP.NET Coreのバージョン、
- サポートされている.NETおよびASP.NET Coreのバージョンに付属するテンプレート、
- .NETおよびASP.NET Coreリポジトリ内のGitHub Actions。
今年初め、MicrosoftはPower PlatformおよびDynamics 365のサービスや製品で発見されたAI脆弱性に対する報奨金を30,000ドルに引き上げました。
2月には、Microsoft Copilot(AI)の中程度の重大度のセキュリティ脆弱性に対する報奨金の増額と、すべてのCopilotバウンティ報奨金に対する100%の増額を発表し、AI研究を促進しています。
昨年のIgnite年次カンファレンスでは、MicrosoftはクラウドおよびAI製品・プラットフォームに焦点を当て、総額400万ドルの報奨金を提供するZero Day Questというハッキングイベントも開始しました。
これらの取り組みは、2023年11月に開始された全社的なサイバーセキュリティエンジニアリング計画であるSecure Future Initiative(SFI)の一環です。これは、米国国土安全保障省のCyber Safety Review Boardによる厳しい報告書を受けて開始されたもので、同報告書はMicrosoftの「セキュリティ文化は不十分であり、抜本的な見直しが必要である」と指摘しています。
クラウド検知&レスポンス入門
新たな脅威をリアルタイムで封じ込め、ビジネスへの影響を未然に防ぎましょう。
この実践的で分かりやすいガイドで、クラウド検知とレスポンス(CDR)がセキュリティチームにどのような優位性をもたらすかを学びましょう。