マイクロソフトは、Internet Explorer 11 のプレビュー版向けに 6 月に開始したバグ報奨金プログラムの一環として、金銭的な報奨金の対象となる脆弱性レポートをすでにいくつか受け取っている。
IE 11の報奨金第1号の受賞者は、セキュリティ研究者のイヴァン・フラトリック氏です。彼は昨年、防御技術開発を競うマイクロソフトのBlueHat Prizeコンテストで2位となり、賞金5万ドルを獲得しました。フラトリック氏がコンテストにエントリーしたROPGuardは、リターン指向プログラミング(ROP)攻撃を検知・防御できるシステムです。
LinkedInのプロフィールによると、フラトリック氏は2012年10月までザグレブ大学電気工学・コンピューター学部の研究員として勤務し、その後情報セキュリティエンジニアとしてGoogleに入社した。
「セキュリティコミュニティは私たちの新しい報奨金プログラムに熱狂的に反応し、プログラム開始からわずか2週間で12件以上の問題を調査のために提出してくれました」と、マイクロソフト セキュリティ レスポンス センターのシニア セキュリティ ストラテジスト、ケイティ・ムスリス氏は水曜日のブログ投稿で述べています。「本日、最初の報奨金受領者に、Internet Explorer 11 プレビュー バグ報奨金プログラムへの提出が確認され、検証されたことをメールで直接通知しました」と彼女は述べ、これは「彼が報酬を受け取る」ことを意味すると付け加えました。
ムスーリスさんはブログ記事の中で最初の賞金受取人が誰なのか明かさなかったが、木曜日にツイッターで祝福のメッセージを送り、それがフラトリックさんであることを確認した。
IE 11の報奨金の対象となる他の研究者もおり、近日中に通知される予定だとムスリス氏はブログ記事で述べた。また、マイクロソフトは、公に表彰されることを希望する研究者をリストアップした謝辞ページを作成する予定だとも述べた。
マイクロソフトは、長年にわたり自社製品の脆弱性を報告したセキュリティ研究者への報奨金支給に消極的だったが、6月19日にIE 11 Previewのバグ報奨金プログラムを発表した。同社はこれまで、様々なエクスプロイトをブロックできるアンチエクスプロイト技術といった能動的な防御技術の開発を奨励してきた。2012年に開催されたBlueHat Prizeコンテストは、賞金総額が25万ドルを超え、こうした防御技術の開発を促進することを目的としていた。
一方、IE 11 Preview のバグ報奨金プログラムは 6 月 26 日に開始され、7 月 26 日までの 30 日間実行されます。報告された脆弱性は、脆弱性の重大性と報告の質に応じて、500 ドルから 11,000 ドル、場合によってはそれ以上の報奨金の対象となる可能性があります。
「高額を提示することではなく、買い手がほとんどいない(あるいは全くいない)時期に魅力的な報奨金を提示することです」とムスリス氏は述べた。「当社の製品の場合、それはプレビュー(またはベータ)期間に当てはまることが多いのです。」
6月末、Fratric氏はTwitterで、IE 11 Previewの潜在的なメモリ破損問題をMicrosoftに報告したと述べたが、それが同氏が同プログラムの最初の報奨金を獲得したバグであるかどうかは明らかではない。
IE 11 Preview 報奨金プログラムに加えて、Microsoft は他の 2 つのプログラムも開始しました。1 つは、Windows 8.1 のエクスプロイト緩和防御を回避するための新しいエクスプロイト手法を発見した研究者に報奨金を支給するもので、もう 1 つは、既知のエクスプロイト手法をブロックする新しい方法を開発している研究者に報奨金を支給するものです。
