マイクロソフトは、Internet Explorer 11 (IE 11) ブラウザのプレビュー版における脆弱性の発見と報告、Windows 8.1 以降のバージョンに存在するエクスプロイト緩和策を回避するための斬新な手法の発見、エクスプロイトに対する防御の新アイデアの考案に対して、セキュリティ研究者に報酬を支払う予定である。
金銭的な報酬は同社が水曜日に開始した3つの報奨金プログラムを通じて支払われる。
支払われる金額は、脆弱性の種類と報告の質に応じて、IE 11 Preview で発見された脆弱性に対しては 500 ドルから 11,000 ドルの範囲となり、Windows 8.1 以降のバージョンでの緩和策の回避に対しては最大 100,000 ドルとなる。
最大5万ドルの防御ボーナス「BlueHat Bonus for Defense」も用意されています。参加者は、最新のWindowsプラットフォームの緩和策を回避するエクスプロイト手法をブロックするために使用できるアイデアを説明した技術論文を提出する必要があります。報酬はアイデアの質と独自性に応じて決定されると、マイクロソフトはプログラムのガイドラインで述べています。
緩和策バイパス報奨金プログラムの対象となるには、Windows プラットフォームのスタック破損、ヒープ破損、およびコード実行の緩和策をバイパスする新しい方法を使用するユーザー モード アプリケーションのリモート コード実行 (RCE) の脆弱性に対するエクスプロイトを投稿に含める必要があります。
ルール
これらの緩和策は、Microsoft のホワイト ペーパー「ソフトウェアの脆弱性の緩和」で説明されており、その中には DEP (データ実行防止) や ASLR (アドレス空間レイアウトのランダム化) などが含まれます。
新しいエクスプロイト方法は、Microsoft が既に知っている方法や以前の作業で説明されている方法であってはならず、提出物にはその方法を説明したホワイト ペーパーも含まれている必要があります。
緩和バイパスおよび防御ボーナス プログラムは、今月 Microsoft の Build 開発者会議でリリースされる予定の Windows 8.1 Preview バージョンから継続的に実行されます。
しかし、IE 11 Preview のバグ報奨金プログラムは、6 月 26 日から 7 月 26 日までの 30 日間のみ実行されます。この特定のプログラムの目標は、ベータ期間中の可能な限り最適なタイミングで脆弱性を見つけて修正することです、と Microsoft Security Response Center (MSRC) のシニア ディレクターである Mike Reavey 氏は述べています。
その他のボーナスプログラム
Google と Mozilla も、それぞれのブラウザである Chrome と Firefox 向けにバグ報奨金プログラムを実施していますが、これらのプログラムは数年間にわたって継続的に実行されてきました。
IE 11 プログラムでは、個々の脆弱性レポートに対して、報告された問題の重大性とレポートの品質に応じて異なる報酬が支払われます。
例えば、リモートコード実行脆弱性は、Tier 0、Tier 1、またはTier 2の支払いカテゴリに分類されます。Tier 1レポートは最大11,000ドルの支払いを受けることができ、概念実証と機能するエクスプロイトの添付が必要です。一方、Tier 0レポートは、Microsoftの裁量により11,000ドルを超える報酬が支払われる可能性がありますが、ホワイトペーパーとサンドボックスからの脱出が必要となる場合もあります。
重要または重大度の高い設計レベルの脆弱性、プライバシーに影響を与えるセキュリティバグ、およびサンドボックスエスケープの脆弱性はTier 2カテゴリに分類され、最低1,100ドルの報奨金が支払われます。ASLR情報漏洩の脆弱性はTier 3カテゴリに分類され、最低500ドルの報奨金が支払われます。
マイクロソフトはこれまでもBlueHat Prizeコンテストの一環として防御技術に資金を提供してきたほか、社内で製品のペネトレーションテストを行う研究者との契約も行ってきました。しかし、今回が同社にとって初の公開バグ報奨金プログラムとなります。
マイクロソフトはこれまで常に外部の研究者から脆弱性報告を受けており、今後もそうし続けるとリービー氏は述べた。しかし、市場の変化にも気付いており、多くの報告が、脆弱性ブローカーを通じて研究者から寄せられているという。彼らは独自のプログラムを通じて脆弱性情報を購入しているという。
ベータ期間はプライム
素晴らしいことです。なぜなら、それらは質の高いレポートだからです。しかし、マイクロソフトが新たに発表した報奨金プログラムは、市場のギャップを埋めようとしているのです、とリービー氏は言います。「緩和策のバイパスに金銭を支払うブローカーは多くありません。なぜなら、それらは高額な報酬だからです。また、製品がリリースされる前、まだベータ版の段階で発見された脆弱性に対しても、ブローカーが金銭を支払うことはまずありません。」
ベータテスト期間は、開発者がより安全な最終製品をリリースし、顧客に影響を与える前に可能な限り多くの問題に対処できるため、この情報を受け取るのに最適な時期であるとリービー氏は述べた。
緩和策のバイパスについては、マイクロソフトは従来、攻撃に使用されていることが判明した後、あるいはセキュリティカンファレンスで開催されるコンテストの結果として年に一度程度、情報を受け取ってきたとリービー氏は述べた。「私たちが目指しているのは、年間を通して、できるだけ早く、そして確実に情報を入手し、お客様を保護できるようにすることです。」
報奨金プログラムの終了日を修正するため、太平洋標準時午後 12 時 10 分に更新されました。
