Microsoft、脆弱性情報に対する報奨金制度を導入

Microsoftが開発中のWindows 8.1およびIE 11のプレビュー版を対象に、脆弱性や新手の攻撃方法を発見した研究者に最大で10万ドルの報奨金を支払う。

[鈴木聖子，ITmedia]

　米Microsoftは6月19日、WindowsやInternet Explorer（IE）のプレビュー版に関する脆弱性情報を同社に報告した研究者などに報奨金を支払う制度を発表した。こうした制度はGoogleやMozillaが導入して一定の成果を上げているが、Microsoftとしては初めて。

　報奨金の対象となるのは、Microsoftが開発中のWindows 8.1およびIE 11のプレビュー版。Windows 8.1 Previewに組み込まれたセキュリティ対策に対する新手の攻撃方法を発見した研究者には、最大で10万ドルの報奨金を支払う。

　さらに、攻撃防止策についてのアイデアには最大で5万ドル、Windows 8.1 Preview上のIE 11 Previewに関する深刻な脆弱性情報については最大1万1000ドルを用意する。ただしIE 11については、応募期間をプレビュー期間の最初の30日に限定する。

　Microsoftはこれまで、脆弱性情報公開の在り方をめぐってGoogleの研究者などと対立してきた経緯がある。報奨金の導入に当たってMicrosoftは、セキュリティ研究者や善良なハッカーとの協力関係について「理念的に必ずしも100％同じ立場には立っていないかもしれないが、ユーザーを守るという共通の目標に向けて、常に研究者との対話を保ちたい」とした。

　さらに、「セキュリティコミュニティとの連携を通じてユーザー保護を強化するための新戦略」の一貫として、「検出と保護にフォーカスした別の制度」も間もなく発表予定だとしている。