本記事は、Microsoft Security Response Center のブログ “Announcing the new Bug Bounty Program for Office Insider Builds on Windows” (2017 年 3 月 15 日 米国時間公開) を翻訳したものです。
私たちは、Office 製品が設計上セキュアであるように開発し、そのセキュリティ機能を拡張するために継続的な投資を行っています。Office のセキュリティ水準を高く保つ方針のもと、Windows 用の Office Insider ビルドに関する報奨金プログラムを開始します。
この Office 報奨金プログラムは、脅威モデルを使用したセキュアな機能の設計、コード レビューのセキュリティ確保、セキュリティ オートメーション、および内部での侵入テストなどを含む、マイクロソフト内のエンジニアリングに対する継続的な投資を補完するものです。
マイクロソフトのクラウドおよび Online Services を対象とした報奨金プログラムでは見つけにくい脆弱性が特定され、私たちのお客様を保護するために積極的に協力してくださる個人の皆さまに、報奨金を支払う方法が見出されました。設計およびロジックを取り巻く研究を引き続き奨励し、Office の重要な領域における深い考察に対して報奨金を支払いたいと考えています。
Office Insider ビルドは、最新の Office 機能およびセキュリティ イノベーションをいち早くユーザーに提供します。これら早い段階のビルドでテストを実施することで、製品がリリースされる前に課題が発見される可能性があります。これは製品の品質向上とお客様の保護につながります。
報奨金プログラムのしくみ
- 報奨金の支払い対象となる脆弱性とその詳細については、Microsoft Office Insider Builds on Windows Bounty Program Terms に記載されており、以下が含まれます。
- Office の保護ビューを介した特権の昇格
- マクロをブロックするセキュリティ ポリシーをバイパスしたマクロの実行
- Outlook の添付ファイルを自動的にブロックするポリシーをバイパスしたコードの実行
- 報奨金プログラムの実施期間は 2017 年 3 月 15 日から 6 月 15 日の 3 か月間
- この期間中の報奨金の支払い額は 6,000 米国ドルから 15,000 米国ドルの範囲
実施要請: secure@microsoft.com 宛に、発見した脆弱性を提出してください。
マイクロソフト報奨金プログラムの最新情報は、こちらの Web サイトおよび関連規約や FAQ を参照してください。
3 月 15 日に開催する Cansecwest 2017 では、本プログラムの詳細について紹介します。ご参加をお待ちしています。
Tom Gallagher、Akila Srinivasan
■ご報告時の注意点
マイクロソフトの報奨金プログラムへご参加される場合は、脆弱性報告はすべて、こちらのガイドラインに沿って米国 secure@microsoft.com へ直接ご報告いただく必要があります。この際、英語でのご報告が困難な場合は日本語の併記・記載でも構いません。これは、報奨金受賞者選定において、公平性の観点で重要となります。 皆様のご参加をお待ちしています!
■関連情報
- マイクロソフト報奨金プログラムについて: マイクロソフト報奨金プログラム
- 今回拡張対象のプログラム: Microsoft Office Insider Builds on Windows Bounty Program Terms
- 脆弱性報告窓口「脆弱性に関する情報をお寄せください」: 報奨金プログラムへ参加せず、日本語で脆弱性報告を行う場合はこちらからお寄せ下さい。