Microsoft バグ報奨金プログラム 10 周年 バグバウンティは安全性を高めているか? | ScanNetSecurity
2024.02.22(木)

Microsoft バグ報奨金プログラム 10 周年 バグバウンティは安全性を高めているか?

 さらにケイティ・ムーサリス氏を称えた。Microsoft 経営陣はバグに関して、リサーチャーに報酬を支払うことは「絶対ない」と言っていたのだが、ムーサリス氏が中心となって、Microsoft にはバグ報奨金プログラムが必要であると Redmond 上層部を説得した。最終的に Microsoft に転機をもたらしたのは、独自ブラウザで Internet Explorer の市場優位性に挑んできた新興企業Google を打倒したいという思いだった。

国際
https://msrc.microsoft.com/blog/2023/11/celebrating-ten-years-of-the-microsoft-bug-bounty-program-and-more-than-60m-awarded/

 Redmond(編集部註:Microsoft 本社)によると、Microsoft のバグ報奨金プログラムは今年で 10 周年を迎えたが、この最初の 10 年でセキュリティリサーチャーに支払われた金額は 6,300 万ドルにのぼり、うち 6,000 万ドルが過去 5 年にバグハンターに支払われた報奨金であった。

 現在では、脆弱性開示と報奨金プログラムは巨大ソフトウェア企業にとってごく当たり前のことになっているようだが、Microsoft の法人バイスプレジデント 兼 次席 CISO(情報セキュリティ最高責任者)アンチャル・グプタ氏は、「10 年前にはバグ報奨金という取り組みに対し、社内の抵抗がなかったわけではありません」と振り返る。

 このプログラムの 10 周年を記念した今週の記事で、グプタ氏は、プログラムにおける最初の報告は、Internet Explorer11プレビュー版の脆弱性と、Windows 8.1 の欠陥の悪用についてであったと述べている。2013 年当時は、IEプレビュー版における欠陥発見に対して報酬が支払われるなんて、かつてない新しいことだったと彼女は言う。

 「外部からのソフトウェアセキュリティの脆弱性報告に対し、報奨金を出したのは Microsoft が最初ではありません。しかし、製品のベータ版やプレビュー版における問題発見にいち早く報奨金を出した数社の中には当社も入っていました」とグプタ氏は書いている。「できれば製品が一般リリースされる前にバグを早期発見し、解決しておくことが顧客を守る上で最も重要である、というのが当社の信念でした」

 グプタ氏はまた、特に 2018 年以降、バグ報奨金をめぐる取り組みが急激に増えた、と強調した。例えば 2019 年度、Microsoft の「報奨金報告数、プログラム参加者数、報奨金額は前年度の 2 倍以上になりました」と彼女は書いている。その 1 年後、Microsoft は、15 のカテゴリーで 300 名以上のセキュリティリサーチャーに 1,300 万ドル以上を提供し、深刻な問題に対してはさらに多額の報奨金を支払った。

 「2020 年 7 月には、顧客のプライバシーとセキュリティに深刻なリスクをもたらす脆弱性に対しては、最高 10 万ドルという高額報奨金を提供するシナリオベースのカテゴリを導入しました」とグプタ氏は振り返る。「リサーチャーたちは力を合わせ、ゼロクリックのリモートコード実行(RCE)やクロステナントの脆弱性の発見件数を前年比で 50 %以上増やしました」


《The Register》

編集部おすすめの記事

特集

国際 アクセスランキング

  1. 勤務時間外の上司のメールは懲役 ~ 豪 つながらない権利法案 性急な法制化

    勤務時間外の上司のメールは懲役 ~ 豪 つながらない権利法案 性急な法制化

  2. 乗っ取った正規サイトは七万件 最新マーケ技術駆使し犠牲者誘導、明らかになってきた犯罪ネットワーク VexTrio

    乗っ取った正規サイトは七万件 最新マーケ技術駆使し犠牲者誘導、明らかになってきた犯罪ネットワーク VexTrio

  3. セキュリティ基準を満たさない病院の政府補助金打ち切り案

    セキュリティ基準を満たさない病院の政府補助金打ち切り案

  4. スパム電子メールを作成するPegasusトロイの木馬

  5. 「企業のお粗末なセキュリティ対策の違法化」「身代金支払い全面禁止」~ 有効な立法施策とは?

  6. ドメイン管理事業者 GoDaddy へソーシャルエンジニアリング攻撃、仮想通貨サービス企業はどこまで被害を受けたか

  7. ペンタゴン、日常的にハッカー攻撃を受ける(米国防総省)

  8. サイバー捜査網:5 人の新しいハッカーたちが、FBI の「最重要指名手配」リストに仲間入り~「Operation Ghost Click」は最後の容疑者を追っている(The Register)

  9. [BlackHat2013] RFIDを3フィート離れた距離からハッキング

  10. そのセキュリティ専門家は「ニセ サイバーサマリア人(善人のふりをした悪人)」ではありませんか? 九つの特徴

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×