ニュース
Microsoft、IDサービスや「OpenID」規格の脆弱性情報募る 最高賞金1100万円
多要素認証バイパスの脆弱性や、標準設計の脆弱性については、最高で10万ドルの賞金を支払う。
米Microsoftは2018年7月17日(米国時間)、同社のIDサービスやID連携のための標準規格「OpenID」の脆弱(ぜいじゃく)性を発見した研究者に対し、最高で10万ドル(約1100万円)の賞金を支払うバウンティプログラム「Microsoft Identity Bounty Program」の創設を発表した。
同プログラムの対象となるのは、Microsoftの「login.windows.net」「account.live.com」などのコンシューマーと法人向けログインページやアカウント管理ページ、およびiOSとAndroid向けの「Microsoft Authenticator」など。
標準規格では、OpenID Foundationの「OpenID Connect Core」や「OAuth 2.0 Multiple Response Types」などを対象とする。
賞金は500ドル〜10万ドル。認証バイパスやクロスサイトスクリプティング、データ流出などの脆弱性について、報告された内容の質や脆弱性の深刻度に応じて賞金を決定する。
特に、多要素認証バイパスの脆弱性と、標準設計の脆弱性については、質の高い報告に対して最高額の10万ドルの賞金を設定している。
Microsoftのバウンティプログラムは、Intelなどのプロセッサに発覚したような「投機的実行」関連の脆弱性や、「Microsoft Edge」などのMicrosoft製品を対象として、随時実施されている。
関連記事
- 米Microsoft、「投機的実行」攻撃の研究を奨励 賞金2600万円
Microsoftは、CPUの投機的実行機能に対する攻撃手法を「脅威環境の変化」と位置付け、こうした脆弱性や緩和策に関する研究を促す目的で、研究者に賞金を贈呈する。 - Windows 10の脆弱性情報に最大2700万円、Microsoftが新たな報奨金制度
リモートコード実行など、ユーザーのプライバシーやセキュリティを脅かすWindowsの脆弱(ぜいじゃく)性について、500ドル〜25万ドルの報奨金を支払う。 - Android脆弱性発見者への賞金、最難関の脆弱性は20万ドルに
最高額の賞金が設定されている脆弱性については、過去2年の間、該当者がいなかったことから、賞金の額を一挙に引き上げた。 - Microsoft、オンラインサービスの脆弱性情報に賞金制度を導入
まずOffice 365を対象として、同サービスの脆弱性を見つけてMicrosoftに報告した研究者に賞金を贈呈する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.