マイクロソフトは今年、バグ報奨金プログラムを通じて、59か国の344人のセキュリティ研究者に過去最高となる1,700万ドルを支払いました。
2024年7月から2025年6月までの間に、研究者たちは合計1,469件の有効な脆弱性レポートを提出し、個人に支払われた最高額は20万ドルに達しました。
これらのレポートは、Azure、Microsoft 365、Dynamics 365、Power Platform、Windows、Edge、Xboxなど、さまざまなマイクロソフト製品およびプラットフォームにおける1,000件以上の潜在的なセキュリティ脆弱性の解決に貢献しました。
「独立した研究者が、急速に進化するAI分野を含む重要分野の脆弱性を特定することを奨励することで、新たな脅威に先んじることができます」とマイクロソフトは年次報奨金プログラムレビューで述べています。
「協調的な脆弱性開示を通じて、これらの研究者は、何百万ものユーザーがマイクロソフトの技術に日々寄せる信頼を強化する上で重要な役割を果たしています。」
前年、マイクロソフトは別の1,660万ドルを55か国の343人のセキュリティ研究者に報奨金として支払いました。
バグ報奨金プログラムのアップデート
同社は今年、Copilot AI、Defender製品、さまざまなID管理システムなど、いくつかの報奨金プログラムも拡大しました。
例えば、Copilotの報奨金プログラムには従来型のオンラインサービスの脆弱性が追加され、Dynamics 365およびPower Platformのプログラムには新たにAIカテゴリが導入され、Windowsプログラムにはリモートサービス拒否攻撃やローカルサンドボックスエスケープのシナリオに対する報奨金が追加されました。
さらに、ID報奨金プログラムはより多くのAPIやドメインを対象とするようになり、DefenderプログラムにはMicrosoft Defender for Identity(MDI)、Microsoft Defender for Office(MDO)、Microsoft Defender for Cloud Applications(MDA)が追加されました。
最近では、マイクロソフトは中程度の重大度のMicrosoft Copilot(AI)のセキュリティ脆弱性に対する報奨金の増額、一部の.NETおよびASP.NET Coreの脆弱性に対する最大4万ドルへの報奨金引き上げ、Power PlatformおよびDynamics 365のAI脆弱性に対する報奨金の増額を発表しました。
月曜日、同社は今年のZero Day Questハッキングコンテストで、最大500万ドルの報奨金を提供すると発表しました。これは「史上最大のハッキングイベント」とされています。
