Microsoftがバグ報奨金プログラムを大幅拡大
Microsoftは、同社の全てのオンラインサービスにおける重大な脆弱性発見に対し、セキュリティ研究者への報奨金支払いを開始しました。これには、Microsoftが開発したコードだけでなく、サードパーティ製コンポーネントで発生した脆弱性も含まれます。
この方針転換は、水曜日にBlack Hat EuropeでMicrosoft Security Response Centerのエンジニアリング担当副社長Tom Gallagher氏によって発表されました。Gallagher氏は、攻撃者が脆弱性を悪用する際、Microsoftのコードとサードパーティ製コンポーネントを区別しないことを説明し、これにより同社はバグ報奨金プログラムの適用範囲を拡大することを決定しました。
新しいサービスはリリースと同時に報奨金プログラムの対象となり、サードパーティ製依存関係(商用またはオープンソースのコンポーネントを含む)におけるセキュリティ欠陥も、Microsoftオンラインサービスに影響を与える場合は対象となります。
脆弱性対応へのコミットメントを強化
Gallagher氏は、「本日より、重大な脆弱性がオンラインサービスに直接的かつ明確な影響を与える場合、報奨金授与の対象となります。コードがMicrosoft、サードパーティ、またはオープンソースのいずれによって所有・管理されているかに関わらず、我々はその問題の解決に必要なあらゆることを行います」と述べました。
さらに、「我々の目標は、最もリスクの高い分野、特に脅威アクターが悪用する可能性が高い分野の研究を奨励することです。報奨金プログラムが存在しない場合でも、セキュリティ研究コミュニティの多様な知見を認識し、彼らの専門知識が向かうあらゆる場所で報奨金を提供します。」と強調しました。
報奨金の支払い実績と「Secure Future Initiative」
Microsoftは過去12か月間で、344人のセキュリティ研究者に1,700万ドル以上の報奨金を支払い、その前年には343人の研究者に1,660万ドルを支払っています。
今回の発表は、同社の事業全体でセキュリティを優先するMicrosoftの広範な「Secure Future Initiative」の一環です。このイニシアティブの一環として、MicrosoftはWindows版のMicrosoft 365およびOffice 2024アプリでの全てのActiveXコントロールを無効化し、Microsoft 365のセキュリティデフォルトを更新して、レガシー認証プロトコル経由でのSharePoint、OneDrive、Officeファイルへのアクセスをブロックしました。最近では、会議中のスクリーンキャプチャ試行をブロックする新しいTeams機能の展開を開始し、スクリプトインジェクション攻撃からEntra IDサインインを保護する計画も発表しています。