マイクロソフトは木曜日、.NETフレームワークおよび関連技術における脆弱性を詳細に報告したセキュリティ研究者に対し、最大40,000ドルの報酬を得られるようになったと発表しました。
同社によると、関心のある研究者は、.NETおよびASP.NET Core(BlazorやAspireを含む)における重大度の高いリモートコード実行(RCE)や権限昇格(EoP)の脆弱性を詳細に報告した完全なレポートで最大報酬を得ることができます。
セキュリティバイパスを報告した研究者には、最大30,000ドルの報酬が与えられる可能性があり、リモートサービス拒否(DoS)バグの場合は最大20,000ドルを獲得できます。マイクロソフトは、なりすましや改ざんの問題、情報漏洩バグ、不適切なドキュメントに対しても最大20,000ドルを支払います。
同社はまた、バグ報奨金プログラムの対象範囲を拡大したことも発表しました。これには、すべてのサポートされている.NETおよびASP.NETバージョン、F#やその他の関連技術、.NET Frameworkバージョン向けのサポートされているASP.NET Core、.NETおよびASP.NET Coreのテンプレート、.NETおよびASP.NET Coreリポジトリ内のGitHub Actionsが含まれます。
さらに、マイクロソフトは提出物の評価および報酬の仕組みにも変更を加え、より明確な重大度レベルやセキュリティへの影響、レポート品質の基準を見直しました。
再構築された.NETバグ報奨金プログラムの一環として、マイクロソフトは脆弱性の潜在的な影響に基づいて報酬を算出し、重大度の高いセキュリティ欠陥にはより高額の報酬が支払われます。
新しいセキュリティ影響の分類は、マイクロソフトが他のバグ報奨金プログラムで使用しているものと一致しており、研究者が提出物の評価をより理解しやすくなっています。
マイクロソフトによれば、すべてのレポートは、完全に機能するエクスプロイトの有無に基づき「完全」または「不完全」と評価されます。理論的なシナリオの場合、研究者が受け取る報酬は低くなります。
広告。スクロールして続きをお読みください。
したがって、「不完全」な提出物で重大度の高いRCE、EoP、セキュリティバイパスのバグを詳細に報告した場合は最大20,000ドルが支払われます。リモートDoSの「不完全」なレポートには最大15,000ドル、なりすまし、情報漏洩、不適切なドキュメントの場合は最大7,000ドルとなります。
「これらのアップデートは透明性を促進し、.NETエコシステムのセキュリティ向上に役立つ、詳細で実用的な提出を奨励するものです」とマイクロソフトは述べています。
関連記事: Pwn2Own Ireland 2025でWhatsAppの脆弱性に100万ドルの報奨金
関連記事: Google、2024年にバグ報奨金プログラムで1,200万ドルを支払う
翻訳元: https://www.securityweek.com/microsoft-boosts-net-bounty-program-rewards-to-40000/