Microsoft、IDサービスや「OpenID」規格の脆弱性情報募る 最高賞金1100万円

多要素認証バイパスの脆弱性や、標準設計の脆弱性については、最高で10万ドルの賞金を支払う。

» 2018年07月19日 11時00分 公開
[鈴木聖子ITmedia]

 米Microsoftは2018年7月17日(米国時間)、同社のIDサービスやID連携のための標準規格「OpenID」の脆弱(ぜいじゃく)性を発見した研究者に対し、最高で10万ドル(約1100万円)の賞金を支払うバウンティプログラム「Microsoft Identity Bounty Program」の創設を発表した。

 同プログラムの対象となるのは、Microsoftの「login.windows.net」「account.live.com」などのコンシューマーと法人向けログインページやアカウント管理ページ、およびiOSとAndroid向けの「Microsoft Authenticator」など。

 標準規格では、OpenID Foundationの「OpenID Connect Core」や「OAuth 2.0 Multiple Response Types」などを対象とする。

 賞金は500ドル〜10万ドル。認証バイパスやクロスサイトスクリプティング、データ流出などの脆弱性について、報告された内容の質や脆弱性の深刻度に応じて賞金を決定する。

 特に、多要素認証バイパスの脆弱性と、標準設計の脆弱性については、質の高い報告に対して最高額の10万ドルの賞金を設定している。

 Microsoftのバウンティプログラムは、Intelなどのプロセッサに発覚したような「投機的実行」関連の脆弱性や、「Microsoft Edge」などのMicrosoft製品を対象として、随時実施されている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ