マイクロソフトは火曜日、過去1年間で59カ国344人のセキュリティ研究者に対し、バグ報奨金プログラムを通じて1,700万ドルの報酬を支払ったと発表しました。
これは、2018年にバグ報奨金プログラムを開始して以来、同社が1年間で支払った報奨金としては過去最高額であり、累計支払額は9,250万ドルに達しました。
昨年、同社は2023年7月1日から2024年6月30日までの間に1,660万ドルの報酬を支払ったと述べており、2020年から2023年の間は毎年約1,300万ドルでした。
また、ゼロデイクエスト予選リサーチチャレンジで支払われた160万ドルも2025年の合計に含まれています。マイクロソフトはこのイベントで600件以上の脆弱性報告を受け取りました。
今週、同社は2026年のリサーチチャレンジの応募受付を開始し、Azure、Copilot、Dynamics 365およびPower Platform、Identity、M365のバグに対して最大500万ドルの報酬を用意していると発表しました。
過去1年間で、同社はバグ報奨金プログラムを更新し、より多くの製品やサービスを対象に拡大し、新たな脅威やセキュリティ課題に対応するために報奨金施策を調整しました。
Copilotバグ報奨金プログラムは現在、より多くのコンシューマー製品を対象とし、研究者へのインセンティブも増額されています。エンタープライズアカウントを保護する追加APIやドメインがIdentityバグ報奨金プログラムに加えられ、Viva Glint、Learning、Pulse、Feature Access ControlがM365プログラムの対象範囲に含まれました。
さらにマイクロソフトは、Defender for Identity(MDI)、Defender for Office(MDO)、Defender for Cloud Applications(MDA)をDefenderバグ報奨金プログラムに追加したことも発表しました。同社はDynamics 365 & Power PlatformプログラムにAIカテゴリを追加し、Windowsバグ報奨金プログラムの攻撃シナリオ報酬も刷新しました。
広告。スクロールして続きをお読みください。
「報奨金は、報告された脆弱性の重大度と潜在的な影響、ならびに提出内容の明確さ、正確さ、完全性によって決定されます。私たちはお客様にとって最も重要な分野での報奨金を優先し、最も重要な部分で意味のあるセキュリティ向上をもたらす研究を奨励しています」とマイクロソフトは述べています。
関連記事: マイクロソフト、.NETバグ報奨金プログラムの報酬を4万ドルに増額
関連記事: マイクロソフトのProject Ire、マルウェア発見のためソフトウェアを自動リバースエンジニアリング
翻訳元: https://www.securityweek.com/microsoft-paid-out-17-million-in-bug-bounties-in-past-year/