Microsoft Edge に関する報奨金プログラムの拡張

本記事は、Microsoft Security Response Center のブログ “Extending the Microsoft Edge Bounty Program” (2017 年 6 月 21 日 米国时间公开) を翻訳したものです。

マイクロソフトは、过去 10 か月間にわたり 200,000 米国ドル以上の报奨金を支払いました。研究コミュニティとのコラボレーションにより Edge のセキュリティは大幅に改善され、マイクロソフトはお客様に対してよりプロアクティブにセキュリティを提供できるようになりました。お客様を保护し、研究者とのプロアクティブな协业を进めるという方针のもと、本日「Windows Insider Preview の Microsoft Edge Web プラットフォーム、バグ报奨金プログラムの条件」を変更し、期限限定ではなく継続的な报奨金プログラムとします。

2013 年以来、特定の脆弱性を検出することを目的とし、ブラウザーに関する 3 つの报奨金プログラムを立ち上げました。セキュリティとは継続的に取り组むものであり目的地ではないため、マイクロソフトは异なる时点で异なる种类の脆弱性を把握することを优先しています。2016 年 8 月 4 日には Windows Insider Preview 上の Microsoft Edge Web Platform に関する报奨金プログラムを开始し、研究者の皆さんに対して最新のブラウザーにおけるリモートでのコード実行 (RCE)、同一生成元ポリシーをバイパスする脆弱性 (例: UXSS)、および参照元のなりすましの脆弱性に関する报告を奨励しました。お客様へ安全な制品を提供することはマイクロソフトの使命であり、この报奨金プログラムはその目标を达成する手助けとなりました。10 か月间のプログラム期间中、お客様の保护に役立つ Edge に関する高品质な报告を多数受け取りました。

プログラムの概要は、以下のとおりです。

• お客様のプライバシーおよびセキュリティを侵害する重大なリモートでのコード実行や重要な设计上の课题に対して、报奨金が支払われます
• この报奨金プログラムは、マイクロソフトの自由裁量により无期限に継続されます
• 报奨金の支払い额の范围は 500 米国ドルから 15,000 米国ドルです
• もし研究者が、条件を満たす脆弱性で既にマイクロソフト内部で発见されたものを报告した场合、最初の発见者に対して最大 1,500 米国ドルを支払います
• 脆弱性は、最新の Windows Insider Preview (Slow track) で再现可能でなければなりません
• マイクロソフトはすべてのセキュリティ関連のバグを重要视しています。Microsoft Edge ブラウザーで発见したセキュリティ関連のバグは、协调的な脆弱性の公开 (CVD) ポリシーのもと secure@microsoft.com までお知らせください

Insider Preview に含まれる Windows の新しい机能に関する最新の情报については、Windows 10 Insider Program Blog (英语情报) を参照してください。

マイクロソフト报奨金プログラムの最新情报は、こちら (英语情报) の Web サイトおよび関連规约や FAQ を参照してください。

Akila Srinivasan Microsoft Security Response Center

■ ご报告时の注意点

マイクロソフトの报奨金プログラムへご参加される場合は、脆弱性报告はすべて、こちらのガイドラインに沿って米国 secure@microsoft.com へ直接ご报告いただく必要があります 。この际、英语でのご报告が困难な場合は日本语の併记・记载でも构いません。これは、报奨金受赏者选定において、公平性の観点で重要となります。 皆様のご参加をお待ちしています！

■ 関連情报

• マイクロソフト报奨金プログラムについて: マイクロソフト报奨金プログラム
• 今回拡张対象のプログラム: Windows Insider Preview の Microsoft Edge Web プラットフォーム、バグ报奨金プログラムの条件
• 脆弱性报告窓口「 脆弱性に関する情报をお寄せください 」: 报奨金プログラムへ参加せず、日本语で脆弱性报告を行う場合はこちらからお寄せ下さい。