Microsoft Identity 報奨金プログラム

Microsoft は、コンシューマー (Microsoft アカウント) とエンタープライズ (Azure Active Directory) の両方について、ID ソリューションのセキュリティとプライバシーに継続的に投資しています。これまで私たちは、IETF、W3C、OpenID 基盤などの公式の標準化団体の標準化エキスパート コミュニティの一員として、強力な認証、安全なサインオン、セッション、API セキュリティ、およびその他の重要なインフラストラクチャ タスクを促進する、ID 関連の仕様の作成、実装、および改善に重点を置いてきました。

Microsoft Identity 報奨金プログラムでは、世界中の研究者に対して、ID 製品やサービスの脆弱性を特定し、Microsoft のチームと共有するように勧めています。資格要件を満たす提出内容が、1,500 から 100,000 米国ドルの報奨金の対象となります。

OpenID 標準化コミュニティとの連携により、報奨金には選ばれた OpenID 標準化の認定済み実装が含まれています。

報奨金は、脆弱性の深刻度および影響度と提出内容の品質に基づいて、Microsoft の裁量で授与されます。また、Microsoft による報奨金の契約条件に従います。
 

この報奨金プログラムは、進行中の Microsoft Identity リサーチ プロジェクト グラントと並行して実施されます。

バグ報奨金プログラムの目的は、Microsoft のお客様のセキュリティに直接的で明白な影響を与える重大な脆弱性を見つけることです。報奨金の資格を得るには、脆弱性に関する提出内容において次の基準が満たされている必要があります。

• これまでに報告されていない重大または重要な脆弱性で、対象となるセキュリティに影響があり、以下のいずれの基準を満たすものを特定します。
  • 対象となる一般公開された Microsoft Identity サービスの最新バージョンで再現される
  • Microsoft アカウントまたは Azure Active Directory アカウントに引き継がれる。
  • OpenID 標準の一覧に記載されているか OpenID 対応プロトコルを持ち、Microsoft の認定製品、サービス、またはライブラリで実装されている。
• 次のすべての情報が含まれている:
  • 問題の説明と容易に理解できる簡潔な再現手順。
  • 脆弱性による影響
  • 攻撃ベクトル (明確でない場合)

報告が高品質であれば、エンジニアが問題を迅速に再現して理解し、修正するために必要な情報が得られます。 このような報告には通常、簡潔な書面やビデオの形式で、必要な背景情報、バグの説明、添付された概念実証 (PoC) が含まれています。 高品質および低品質のレポートのサンプルは、こちらから入手できます。  

複雑であることが原因で再現または理解が難しいという問題によって、レポート品質の評価が下がることはありません。

テスト アカウントを作成し、セキュリティのテストとプローブのためにテナントをテストする必要があります。

• Azure サービスの場合は、テスト アカウントとして使用する無料試用版を https://azure.microsoft.com/ja-jp/free/ から開始できます。
• Microsoft アカウントの場合は、http://signup.live.com/ でテスト アカウントを設定できます。

いずれの場合も、可能であれば、アカウントをバグ報奨金プログラムに使用していることがわかるように、アカウント名またはテナント名 (あるいは両方) に文字列 "MSOBB" を含めてください。

対象範囲外:

• Microsoft に既に報告されているか、より広いセキュリティ コミュニティで既に知られている公開済みの脆弱性 
• セキュリティへの影響が明確に特定されていない問題 (静的な Web サイトでのクリックジャッキングなど)、セキュリティ ヘッダーがない、わかりやすいエラー メッセージ
• 対象外の脆弱性の種類には、次のものが含まれます。
  • IP、サーバー名、ほとんどのスタック トレースなどのサーバー側の情報漏えい 
  • 影響の少ない CSRF バグ (ログオフなど) 
  • サービス拒否の問題
  • サブドメインの乗っ取り 
  • Cookie 再生の脆弱性 
  • URL リダイレクト (別の脆弱性と組み合わせてさらに深刻な脆弱性をもたらす場合を除く) 
  • パスワード、メール、およびアカウント ポリシー (メール ID 確認、リセット リンクの期限切れ、パスワードの複雑さなど)
  • サポートされていないブラウザーやプラグインにのみ影響する Web アプリケーションの脆弱性

• ユーザーの構成、ユーザー アクション、または物理アクセスに基づく脆弱性。次に例を示します。
  • 広範囲に及ぶユーザー操作やありそうもないユーザー操作を必要とする脆弱性
  • ユーザーが作成したコンテンツまたはアプリケーションの脆弱性 
  • ユーザーによるサービスのセキュリティ構成の誤り (ストレージ アカウントでの HTTP アクセスを有効にして 中間者 (MiTM) 攻撃を可能にするなど) 
  • データ操作、ネットワーク アクセス、または Microsoft のオフィスやデータ センターに対する物理的な攻撃、サービス デスク、従業員、請負業者のソーシャル エンジニアリングを必要とする提出内容
  • ログインされたデバイスへの物理的なアクセスが必要な 2 要素認証バイパス
  • ルート化されたモバイル デバイス操作時のユーザー データへのローカル アクセス
  • HTTP セキュリティ ヘッダー (X-FRAME-OPTIONS など) または Cookie セキュリティ フラグ ("httponly" など) が見つからない 
  • ユーザーやテナントの存在を列挙または確認するために使用される脆弱性

リサーチおよび顧客データに関する重要な注意

製品とサービスのセキュリティを全体的に確保するには、独立したセキュリティ リサーチが重要です。また、お客様がサービスを継続的に利用できるように、こうしたサービスが運用環境で有効であること、また実行されていることを、リサーチの一環としてコミュニティが認識していなければなりません。セキュリティ研究者には、次のことに誠意をもって取り組むようお願いしています。

• リサーチ中、プライバシー違反、データ破損、およびサービスの中断や低下は回避するようにしてください。
  リサーチ中に顧客データが検出された場合は、直ちに停止して、ご連絡ください。
  • たとえば、アカウント間またはテナント間のデータ アクセスを実証および証明する目的で、少数のテスト アカウントや試用版テナントを作成することは許可 (および推奨) されていますが、これらのアカウントを使って、正規の顧客またはアカウントのデータにアクセスすることは禁じられています。
• 脆弱性のテストは、個別の研究者が所有するサブスクリプション/アカウントのテナントでのみ実行します。他のテナントに対してテストを実行しないでください。
• サーバー側の実行に関する問題の "概念実証" レポート手順の先に移動することは、許容されていません。つまり、SQLi での sysadmin アクセスは許容されていますが、xp_cmdshell の実行は許容されていません。

セキュリティ研究者が Microsoft サービスのリサーチの限界をさらに深く理解できるように、次の方法は禁止されています。

• Microsoft の従業員に対してフィッシングやその他のソーシャル エンジニアリング攻撃を試みる。このプログラムの適用範囲は、指定された Microsoft Online Services の技術的な脆弱性に限定されます。
• あらゆる種類のサービス拒否テスト。
• 大量のトラフィックを生成するサービスの自動テストを実行する。

報奨金の契約条件

Microsoft バグ報奨金プログラムは、こちらに概要が記載されている法的条件、および報奨金の Safe Harbor ポリシーの対象となります。

ご不明な点については、こちらの Microsoft の報奨金に関する FAQ を確認するか、bounty@microsoft.com までお気軽にお問い合わせください。

Microsoft バグ報奨金プログラムにご参加いただきありがとうございます。

• 2018 年 12 月 6 日: リビジョン履歴セクションが追加されました。
• 2019 年 10 月 23 日: 報酬モデルが改訂され、セキュリティへの影響、重要度、およびレポートの品質が追加されました。報奨金の概要の言語が、他のクラウド プログラムに合わせて改訂されました。
• 2020 年 1 月 16 日: Research プロジェクト グラントへのリンクが追加されました