Microsoft、ゼロデイ攻撃の発見者にも賞金を贈呈

今後は未解決の脆弱性を突いた攻撃が発生していることを発見して対応した担当者や専門家にも賞金を支払う。

[鈴木聖子，ITmedia]

　米Microsoftは、セキュリティ対策技術などについて情報を寄せた社外の研究者に賞金を支払う制度について、対象を大幅に拡大し、未解決の脆弱性を突いた攻撃の発見者や対応者にも最高10万ドルの賞金を贈呈すると発表した。

　Microsoftの賞金制度は2013年6月に導入され、これまではWindowsに実装されたセキュリティ対策をかわす新たな手口を発見した研究者を主な対象としていた。今後はこの対象を広げ、Microsoftが把握していなかった脆弱性を突いた攻撃が発生していることを発見し、対応した担当者や専門家にも賞金を支払う。これにより、制度の対象となる個人や組織は大幅に増えると見込んでいる。

　参加者は、実際に出回っているのを発見した攻撃について、コンセプト実証コードと技術情報をMicrosoftに提供する。賞金の最高額は10万ドル。攻撃を防ぐための優れたアイデアを併せて提供した場合は5万ドルを上乗せする。参加するには事前にメールで申し込みを済ませる必要がある。

　Microsoftによると、闇市場では、メーカーが気づいていないソフトウェアの脆弱性情報などが高額で取引され、攻撃に使われているのが現状だという。賞金の対象を広げることにより、「闇市場で買い上げられた脆弱性が、発見されないまま攻撃に使われ続ける期間を短縮できる」とMicrosoftは見込んでいる。