Microsoft、「Spartan」ブラウザの脆弱性報告に報奨金を進呈

Spartanのリモートコード実行やサンドボックス迂回の脆弱性、設計レベルのセキュリティ問題について報告を促し、こうした脆弱性の発見者に重要度に応じた賞金を支払う。

[鈴木聖子，ITmedia]

Microsoftが実施している脆弱性報奨金制度

　米Microsoftは4月22日、同社製品やサービスの脆弱性を発見した研究者などに報奨金を支払う制度の対象を広げ、Windows 10の標準となる新ブラウザ「Spartan」（プロジェクト名）を対象とする「Project Spartan Bug Bounty」を新設すると発表した。

　Windows 10は年内に正式版のリリースが予定され、新たな標準ブラウザとなるSpartanは何百万ものユーザーが使うことになる見通し。このため「同プラットフォームのセキュリティ対策は最優先課題」とMicrosoftは位置付ける。

　Project Spartanではリモートコード実行やサンドボックス迂回の脆弱性、設計レベルのセキュリティ問題について報告を促し、こうした脆弱性の発見者に重要度に応じた賞金を支払う。賞金の最高額は1万5000ドル。期間は4月22日〜6月22日までとする。

　また、オンラインサービスを対象とする「Online Services Bug Bounty」ではクラウドプラットフォームの「Azure」やWebアプリケーションの「Sway.com」を対象に追加。脆弱性の発見者に支払う賞金も引き上げて最高額を1万5000ドルとした。

　Windows最新版（Windows 8.1とServer 2012 R2）の脆弱性報告を促す「Mitigation Bypass Bounty」では、「Hyper-Vエスケープ」が対象に加わった。この制度では最高で10万ドルという高額の賞金を提供している。