ニュース

米Microsoft、Office 365など対象にバグ発見報奨金プログラム開始

報奨金に対する姿勢が変化

 米Microsoftは24日、主にOffice 365サービスを対象とした「Microsoft Online Services Bug Bounty Program」を発表した。指定したサービスのセキュリティに関連した脆弱性を発見した場合、500ドルからの報奨金をMicrosoftが支払うことにするというものだ。

 例えばGoogleやFacebookなどと異なり、Microsoftはこれまでバグ発見報奨金プログラムについて慎重な立場を取ってきた。報奨金によるバグ発見の効果性、すでに多数の善意のセキュリティ研究者から自発的な報告を受けているという現状、また、倫理的な問題も関係する複雑な問題だからだ。

 現在でも通常のセキュリティ脆弱性発見について報奨金を支払うプログラムは設けていない。その代わり、2013年から独自のミティゲーションバイパス技術を開発した研究者や、Microsoft製品に組み込むことができる新しい防衛策を開発した研究者に対し、報奨金を支払うプログラムを設けている。

 Internet Explorer 11ベータ版では期間限定で報奨金を支払ったことはあるが、それを除けば今回のオンラインサービス向けプログラムはMicrosoftにとって考え方の大きな変化ともいえる。

 その理由についてMicrosoftでは、「“モバイルファースト”“クラウドファースト”な世界の中で、これは当社既存のバグ発見報奨金プログラムのエキサイティングで論理的な進化である」と説明する。また、顧客がセキュリティを確認するために自由にテストする自由を求めていることも理由として挙げる。

 そしてプログラムの狙いについては、「バグ報奨金の目的は、ユーザーとユーザーのデータの安全性に直接的かつ明白な影響を与える重大な脆弱性を発見することにある」と説明している。

 しかし対象となるサービスは限られていることには注意が必要だ。Microsoftは対象となるドメイン一覧を提示しているが、これには「portal.office.com」「login.microsoftonline.com」「*.sharepoint.com」など、主にOffice 365サービスが中心となっており、例えば「*.outlook.com」は含まれているが、コンシューマー向けのoutlook.comサービスは除外すると明記されている。

 また、報奨金支払いの対象となる脆弱性の種類も明記されており、「クロスサイトスクリプティング(XSS)」「クロスサイトリクエストフォージェリ(CSRF)」など9種類が挙げられている。あわせて報奨金対象とならない種類のバグも明記されているほか、DoS攻撃、自動テスト、ユーザーデータの取得、Microsoft従業員に対するフィッシングなど、研究者が採用してはならない手法についてもFAQにて明記している。

(青木 大我 taiga@scientist.com)