Microsoft、脆弱性情報に対する報奨金導入で「成果あり」

IE 11のプレビュー版についは既に数件の情報が寄せられ、「われわれの戦略が奏功している」とMicrosoft。

[鈴木聖子，ITmedia]

　米Microsoftは7月3日、「Windows 8.1」と「Internet Explorer（IE） 11」の各プレビュー版の脆弱性情報に対して報奨金を支払う制度について、これまでに数件の情報が寄せられ、導入の成果が出ていると報告した。

　同社は6月から提供を開始した「Windows 8.1」と「IE 11」の各プレビュー版を対象に、脆弱性情報や新手の攻撃方法を発見した研究者に最大で10万ドルの報奨金を支払うと発表し、情報提供を募っている。

　IE 11については7月3日までに数件の情報が寄せられ、調査を進めているという。応募の期限は7月26日まで。31日と8月1日には、米ラスベガスで開かれるBlack HatのMicrosoftブースで賞金をかけた判定会を予定している。

　Microsoftによれば、今回新たに報奨金制度を設けたことにより、これまではβ期間が終了した後に仲介業者を通じて脆弱性情報を報告していた研究者からも、直接情報が寄せられるようになったという。「リリースサイクルの早い段階で研究者から直接問題を報告してもらおうというわれわれの戦略が、開始から1週間で既に奏功している」と同社は評価する。

　なお、過去に寄せられた脆弱性や攻撃手法に関する情報については報奨金の対象にはならないものの、「報奨金制度ができる前に情報を提供してくれた研究者にも報いる方法を見つける」とMicrosoftは説明している。