プログラムの説明

Microsoft は、コンシューマー (Microsoft アカウント) とエンタープライズ (Azure Active Directory) の両方について、ID ソリューションのセキュリティとプライバシーに継続的に投資しています。これまで私たちは、IETF、W3C、OpenID 基盤などの公式の標準化団体の標準化エキスパート コミュニティの一員として、強力な認証、安全なサインオン、セッション、API セキュリティ、およびその他の重要なインフラストラクチャ タスクを促進する、ID 関連の仕様の作成、実装、および改善に重点を置いてきました。

Microsoft Identity 報奨金プログラムでは、世界中の研究者に対して、ID 製品やサービスの脆弱性を特定し、Microsoft のチームと共有するように勧めています。資格要件を満たす提出内容が、1,500 から 100,000 米国ドルの報奨金の対象となります。

OpenID 標準化コミュニティとの連携により、報奨金には選ばれた OpenID 標準化の認定済み実装が含まれています。

報奨金は、脆弱性の深刻度および影響度と提出内容の品質に基づいて、Microsoft の裁量で授与されます。また、Microsoft による報奨金の契約条件に従います。
 

この報奨金プログラムは、進行中の Microsoft Identity リサーチ プロジェクト グラントと並行して実施されます。

対象となる提出の条件

バグ報奨金プログラムの目的は、Microsoft のお客様のセキュリティに直接的で明白な影響を与える重大な脆弱性を見つけることです。報奨金の資格を得るには、脆弱性に関する提出内容において次の基準が満たされている必要があります。

  • これまでに報告されていない重大または重要な脆弱性で、対象となるセキュリティに影響があり、以下のいずれの基準を満たすものを特定します。
    • 対象となる一般公開された Microsoft Identity サービスの最新バージョンで再現される
    • Microsoft アカウントまたは Azure Active Directory アカウントに引き継がれる。
    • OpenID 標準の一覧に記載されているか OpenID 対応プロトコルを持ち、Microsoft の認定製品、サービス、またはライブラリで実装されている。
  • 次のすべての情報が含まれている:
    • 問題の説明と容易に理解できる簡潔な再現手順。
    • 脆弱性による影響
    • 攻撃ベクトル (明確でない場合)

対象となるドメインと標準:

  • login.windows.net
  • login.microsoftonline.com
  • login.live.com
  • account.live.com
  • account.windowsazure.com
  • account.activedirectory.windowsazure.com
  • credential.activedirectory.windowsazure.com
  • passwordreset.microsoftonline.com
  • Microsoft Authenticator (iOS および Android アプリケーション)*

* モバイル アプリケーションの場合: リサーチによって最新バージョンのアプリケーションとモバイル オペレーティング システムを再現する必要があります。

標準の範囲:

Microsoft 製品およびサービスの認定済み実装の一覧については、こちらをご覧ください。

  • OpenID 基盤 - OpenID Connect ファミリ
  • OpenID Connect Core
  • OpenID Connect Discovery
  • OpenID Connect のセッション
  • OAuth 2.0 複数応答の種類
  • OAuth 2.0 フォーム投稿応答の種類

注意: 標準、プロトコル、または実装の報奨金に対する提出内容には、この報奨金の対象となる完全に承認された ID 標準を含める必要があります。また、Microsoft の認定製品、サービス、またはライブラリに実装されている標準またはプロトコルで、セキュリティの脆弱性が検出されていなければなりません。

ID 標準化作業グループに貢献または所属する標準化の専門家は、標準化関連の報奨金の対象にはなりません。

報奨金

報奨金の範囲は 1,500 ドルから 100,000 ドルです。Microsoft の独自の裁量で、提出内容の影響、重要度、および品質に基づいて、報奨金がより高額になる可能性もあります。

セキュリティへの影響
レポートの品質
重要度
重大
重要

低い

特権の昇格
(多要素認証バイパスを含む)

低い

$100,000

$75,000

$45,000

$50,000

$25,000

$10,000

$0

$0

特権の昇格
(認証バイパスまたは認証フローなど)

低い

$40,000

$20,000

$8,000

$20,000

$10,000

$2,500

$0

$0

スプーフィング

(クロスサイト

スクリプト (XSS)、クロスサイト リクエスト フォージェリ (CSRF) など)

Medium
$20,000
$10,000
$6,000
$10,000
$5,000
$1,500

$0

$0

情報漏えい

(機密データ

漏えいなど)

Medium
$12,000
$6,000
$4,500
$7,500
$3,000
$1,500

$0

$0

標準設計

脆弱性

(一部の制限が適用されます。以下の「対象範囲外」を参照)

$100,000
$60,000
$25,000
$30,000
$20,000
$2,500

$0

$0

標準ベース

実装

脆弱性

(一部の制限が適用されます。以下の「対象範囲外」を参照)

$75,000
$50,000
$20,000
$25,000
$10,000
$2,500

$0

$0

報告が高品質であれば、エンジニアが問題を迅速に再現して理解し、修正するために必要な情報が得られます。 このような報告には通常、簡潔な書面やビデオの形式で、必要な背景情報、バグの説明、添付された概念実証 (PoC) が含まれています。 高品質および低品質のレポートのサンプルは、こちらから入手できます。  

複雑であることが原因で再現または理解が難しいという問題によって、レポート品質の評価が下がることはありません。

 
 
 

報奨金の対象となる Azure および Microsoft アカウント サービスをテストするための試用アカウントを作成する方法

テスト アカウントを作成し、セキュリティのテストとプローブのためにテナントをテストする必要があります。

いずれの場合も、可能であれば、アカウントをバグ報奨金プログラムに使用していることがわかるように、アカウント名またはテナント名 (あるいは両方) に文字列 "MSOBB" を含めてください。

提出方法

MSRC 提出ポータルを使用し、提出のガイドラインで推奨されている形式に従って、Microsoft に提出物一式を送信します。すべての脆弱性の報告時に、協調的な脆弱性の公開に従うようにしてください。Microsoft では、解読できない提出や不完全な提出を明確にするために、合理的な努力を行います。
 
ご不明な点については、 secure@microsoft.com までお気軽にお問い合わせください。
 

対象範囲外:

  • Microsoft に既に報告されているか、より広いセキュリティ コミュニティで既に知られている公開済みの脆弱性 
  • セキュリティへの影響が明確に特定されていない問題 (静的な Web サイトでのクリックジャッキングなど)、セキュリティ ヘッダーがない、わかりやすいエラー メッセージ
  • 対象外の脆弱性の種類には、次のものが含まれます。
    • IP、サーバー名、ほとんどのスタック トレースなどのサーバー側の情報漏えい 
    • 影響の少ない CSRF バグ (ログオフなど) 
    • サービス拒否の問題
    • サブドメインの乗っ取り 
    • Cookie 再生の脆弱性 
    • URL リダイレクト (別の脆弱性と組み合わせてさらに深刻な脆弱性をもたらす場合を除く) 
    • パスワード、メール、およびアカウント ポリシー (メール ID 確認、リセット リンクの期限切れ、パスワードの複雑さなど)
    • サポートされていないブラウザーやプラグインにのみ影響する Web アプリケーションの脆弱性
  • ユーザーの構成、ユーザー アクション、または物理アクセスに基づく脆弱性。次に例を示します。
    • 広範囲に及ぶユーザー操作やありそうもないユーザー操作を必要とする脆弱性
    • ユーザーが作成したコンテンツまたはアプリケーションの脆弱性 
    • ユーザーによるサービスのセキュリティ構成の誤り (ストレージ アカウントでの HTTP アクセスを有効にして 中間者 (MiTM) 攻撃を可能にするなど) 
    • データ操作、ネットワーク アクセス、または Microsoft のオフィスやデータ センターに対する物理的な攻撃、サービス デスク、従業員、請負業者のソーシャル エンジニアリングを必要とする提出内容
    • ログインされたデバイスへの物理的なアクセスが必要な 2 要素認証バイパス
    • ルート化されたモバイル デバイス操作時のユーザー データへのローカル アクセス
    • HTTP セキュリティ ヘッダー (X-FRAME-OPTIONS など) または Cookie セキュリティ フラグ ("httponly" など) が見つからない 
    • ユーザーやテナントの存在を列挙または確認するために使用される脆弱性
  • サード パーティに基づく脆弱性。次に例を示します。
    • ギャラリー イメージや ISV アプリケーションなど、Azure によって提供されるサード パーティ製ソフトウェアの脆弱性 
    • 対象のオンライン サービスに固有ではないプラットフォーム テクノロジの脆弱性 (Apache や IIS の脆弱性など) 
  • 自動化されたツールまたはスキャンからのレポート
  • 「対象となるドメインとエンドポイント」に記載されていない限り、ID 製品およびサービスに関連するトレーニング、ドキュメント、サンプル、コミュニティ フォーラム サイトは、報奨金の対象外となります
  • その他の Microsoft 製品の脆弱性:
    • この提出内容は、他の報奨金プログラムで報奨金の対象となる場合があります。他の報奨金対象の Microsoft 製品およびサービスについては、報奨金プログラムの完全な一覧を参照してください。
  • 標準ベースの脆弱性に対する制限
    • 次の基準のいずれかによって、標準ベースの脆弱性が報奨金の対象外となります。
      • ドラフト状態、候補リリース、または実装ドラフトが含まれる標準。候補、実装、またはドラフトの標準に関する問題は、通常の標準化作成プロセスの一環として、該当する標準化団体に直接報告する必要があります。
      • 明示的に示されていない仕様に含まれる。
      • Microsoft 製品およびサービスの認定されていない実装に含まれる。

リサーチおよび顧客データに関する重要な注意

製品とサービスのセキュリティを全体的に確保するには、独立したセキュリティ リサーチが重要です。また、お客様がサービスを継続的に利用できるように、こうしたサービスが運用環境で有効であること、また実行されていることを、リサーチの一環としてコミュニティが認識していなければなりません。セキュリティ研究者には、次のことに誠意をもって取り組むようお願いしています。

  • リサーチ中、プライバシー違反、データ破損、およびサービスの中断や低下は回避するようにしてください。
    リサーチ中に顧客データが検出された場合は、直ちに停止して、ご連絡ください。
    • たとえば、アカウント間またはテナント間のデータ アクセスを実証および証明する目的で、少数のテスト アカウントや試用版テナントを作成することは許可 (および推奨) されていますが、これらのアカウントを使って、正規の顧客またはアカウントのデータにアクセスすることは禁じられています。
  • 脆弱性のテストは、個別の研究者が所有するサブスクリプション/アカウントのテナントでのみ実行します。他のテナントに対してテストを実行しないでください。
  • サーバー側の実行に関する問題の "概念実証" レポート手順の先に移動することは、許容されていません。つまり、SQLi での sysadmin アクセスは許容されていますが、xp_cmdshell の実行は許容されていません。

セキュリティ研究者が Microsoft サービスのリサーチの限界をさらに深く理解できるように、次の方法は禁止されています。

  • Microsoft の従業員に対してフィッシングやその他のソーシャル エンジニアリング攻撃を試みる。このプログラムの適用範囲は、指定された Microsoft Online Services の技術的な脆弱性に限定されます。
  • あらゆる種類のサービス拒否テスト。
  • 大量のトラフィックを生成するサービスの自動テストを実行する。

報奨金の契約条件

Microsoft バグ報奨金プログラムは、こちらに概要が記載されている法的条件、および報奨金の Safe Harbor ポリシーの対象となります。

ご不明な点については、こちらの Microsoft の報奨金に関する FAQ を確認するか、bounty@microsoft.com までお気軽にお問い合わせください。

Microsoft バグ報奨金プログラムにご参加いただきありがとうございます。

リビジョン履歴

  • 2018 年 12 月 6 日: リビジョン履歴セクションが追加されました。
  • 2019 年 10 月 23 日: 報酬モデルが改訂され、セキュリティへの影響、重要度、およびレポートの品質が追加されました。報奨金の概要の言語が、他のクラウド プログラムに合わせて改訂されました。
  • 2020 年 1 月 16 日: Research プロジェクト グラントへのリンクが追加されました