マイクロソフトは、今年開催されるZero Day Questハッキングコンテストにおいて、最大500万ドルの報奨金を提供します。同社はこれを「史上最大のハッキングイベント」と位置付けています。
昨年のZero Day Questも、マイクロソフトがクラウドやAI製品・プラットフォームの脆弱性に対して 400万ドルの報奨金を提供したことを受けて、セキュリティコミュニティから大きな参加を集めました。11月のハッキングコンペティション終了後、マイクロソフトは160万ドルを支払ったと発表しており、600件以上の脆弱性報告が寄せられたとしています。
今年のコンテストでは、レドモンド(マイクロソフト本社)は賞金総額を500万ドルに増額し、クラウドコンピューティングと人工知能におけるセキュリティ課題への対応に重点を置いています。
2025年8月4日から10月4日までの間、マイクロソフトはすべてのセキュリティ研究者を対象としたリサーチチャレンジの一環として脆弱性の報告を受け付けます。参加者は重大な脆弱性を報告した場合、報奨金が増額されるチャンスもあります。
「最もインパクトのある研究を評価し報いるため、リサーチチャレンジ期間中に発見された重大度クリティカルの脆弱性や高インパクトなシナリオについては、既存および新しいMicrosoft Azure、Copilot、Dynamics 365およびPower Platform、Identity、M365バグバウンティプログラムに沿って、報奨金に+50%の増額を適用します」とマイクロソフトは述べています。「一般的な増額と高インパクト増額の両方の条件を満たす場合は、より高い方が適用されます。」
優秀な研究者は、2026年春にマイクロソフトのレドモンドキャンパスで開催されるライブハッキングイベントへの参加資格を得ます。この招待制コンテストでは、トップセキュリティ研究者がマイクロソフトセキュリティレスポンスセンターや製品チームと直接協力する機会が提供されます。
また同社は、AIレッドチーム、MSRC、DynamicsチームによるAIシステムのテスト、バグバウンティプログラム、セキュリティ研究手法に関するトレーニングセッションを通じて、参加者を支援する予定です。
このコンテストは、2023年11月に開始されたサイバーセキュリティエンジニアリングの取り組み「Secure Future Initiative(SFI)」の一環です。これは米国国土安全保障省のCyber Safety Review Boardによる報告書で、同社のセキュリティ文化が「不十分であり、抜本的な見直しが必要」と指摘されたことを受けたものです。
「Secure Future Initiative(SFI)の一環として、たとえ顧客の対応が不要な場合でも、CVEプログラムを通じて重大な脆弱性を透明性をもって共有します」とマイクロソフトは述べています。「Zero Day Questで得られた知見は、SFIの中核原則である“デフォルトでのセキュリティ”、“設計段階でのセキュリティ”、“運用でのセキュリティ”に沿って、クラウドとAIのセキュリティ向上のためにマイクロソフト全体で共有されます。」
また金曜日、マイクロソフトは一部の.NETおよびASP.NET Coreの脆弱性に対する報奨金を最大4万ドルに増額し、.NETバグバウンティプログラムを拡大したことも明らかにしました。
今年初めにも、同社はPower PlatformおよびDynamics 365 AIの脆弱性に対する最大3万ドルの報奨金増額や、Microsoft Copilot(AI)の中程度の重大度のセキュリティ脆弱性に対する報奨金の増額も発表しています。さらに、Copilotのバグバウンティ全体に対して100%の報奨金増額も導入し、AI研究を促進しています。
