Microsoftは今年のZero Day Questハッキングコンテストで約700件の応募を受けた後、セキュリティ研究者に230万ドルを授与しました。
Microsoft Security Response Center (MSRC)のエンジニアリング担当副社長Tom Gallagherは、Microsoftのレドモンドキャンパスでのライブイベント中に発見された80以上の欠陥は、大きな影響を持つクラウドおよびAIセキュリティ脆弱性であると述べました。
「2026年のライブハッキングイベント中、Microsoftは世界的なセキュリティ研究コミュニティと提携し、20か国以上を代表し、高校生から大学教授まで、幅広い職務背景を持つ。」Gallagherは述べました。
「研究者はMicrosoftの規約に従い、認可された環境内ですべてのテストを実施し、顧客データまたは他のテナントシステムにアクセスせずに潜在的な影響を実証しました。これらの制約の中で、研究者は認証情報の露出、SSRFチェーン、およびテナント間アクセスを含む重大なパスを特定しました。」
去年の8月、Microsoftは今年のZero Day Questハッキングコンテストの賞金プールを500万ドルに増やすことを発表し、同社はこれを「史上最大のハッキングイベント」と説明しました。
2025年のZero Day Questは、クラウドおよびAI製品およびプラットフォームの脆弱性に対する400万ドルの報酬のMicrosoftの申し出に続いて、セキュリティコミュニティからの多くの参加も生み出しました。
ハッキングコンペティションが終了した後、Microsoftは600件以上の脆弱性報告を受けた後、160万ドルの報酬を支払ったと発表しました。
Zero Day Questコンテストは、Microsoftの2023年11月に開始されたセキュアな将来イニシアチブ(SFI)の一部であり、米国国土安全保障省のサイバーセーフティレビューボードの厳しい報告により、同社のセキュリティ文化が「不十分」であり、「大規模な改革」が必要であると判断されました。
「Secure Future Initiative(SFI)の一部として、顧客の対応が必要ない場合でも、CVEプログラムを通じて重大な脆弱性を透過的に共有します」Gallagherは8月に述べました。「Zero Day Questからの学習はMicrosoft全体で共有され、SFIの中核原則に合わせてクラウドおよびAIセキュリティを改善するのに役立ちます。デフォルトで、設計上、および運用上のセキュリティです。」
その月の初め、Microsoftは2024年7月から2025年6月の間に、バグ報奨金プログラムを通じて59か国の344人のセキュリティ研究者に記録的な1700万ドルを支払ったと発表しました。
12月には、サードパーティが脆弱なコードを作成した場合でも、セキュリティ研究者がMicrosoftのいずれかのオンラインサービスの重大な脆弱性を見つけるために支払われることを発表しました。
