プログラムの説明

Windows デスクトップ上の Microsoft Office Insider でのセキュリティの脆弱性に関する報奨金プログラムが開始されます。パッチが適用された Windows の最新バージョンに搭載されている Microsoft Office Insider スロー ビルドで見つかったセキュリティ上の脆弱性を提出することで、世界中のユーザーが報奨金を受け取れる可能性があります。Office Insider Preview の更新プログラムは、異なるリングでお客様に配信されます。この報奨金プログラムでは、Office Insider Preview のスロー リングでのバグについて提出をお願いしています。詳細については、https://products.office.com/en-us/office-insider および https://products.office.com/en-us/try をご確認ください。

Microsoft Office Insider 報奨金プログラムは、こちらで説明されている法的条項に従います。

対象となる提出の条件

Microsoft バグ報奨金プログラムでは、発見のために行われた調査を反映する高品質な提出内容に対して報酬が授与されます。レポートの目的は、自分の知識と専門知識を Microsoft の開発者やエンジニアと共有して、彼らが迅速かつ効率的に発見内容を理解し、再現できるようにすることです。これにより、脆弱性を修正するための背景とコンテキストが得られます。

支払いを受ける資格を得るには、Microsoft に提供される脆弱性に関する提出内容において次の基準が満たされている必要があります。
  • これまでに報告されていない新しい脆弱性が特定されている。また、その脆弱性が対象範囲内であり、完全にパッチが適用された Windows 10 マシン上の最新の Office Insider スロー リング上で再現される。
  • 問題の説明と容易に理解できる簡潔な再現手順が含まれている。(この情報により、提出内容を可能な限り迅速に処理できるようになり、報告される脆弱性の種類で最高金額が支払われる裏付けとなります)。
  • 脆弱性による影響が含まれている
  • 明確でない場合、攻撃ベクトルが含まれている

適用範囲:

完全にパッチが適用された Windows 10 マシン上の Office Insider Preview の最新のスロー リング ビルド

対象範囲外:

  • 最新のスロー リングより古い Office Insider Preview ビルド
  • 古いオペレーティング システム上の Office Insider Preview ビルド
  • Mac Office
  • iOS および Android 用の Office アプリケーション
提出内容が条件を満たす場合、最低 500 米国ドルから 15,000 米国ドルまでの支払いの対象となる可能性があります。報奨金は、その品質と脆弱性の複雑さに基づいて Microsoft の独自の裁量で授与されます。特定の提出内容は、15,000 ドルを超える報奨金の対象となる場合があります。

報奨金の金額の設定方法

同じ問題に対して複数の適格なバグ報告を異なる外部の参加者から受信した場合、報奨金は上記の基準に基づいて最初の適格な提出に対して付与されます。

重複している報告によって、脆弱性の調査に付加価値を与える新しい情報が提供される場合は、重複する提出に対して差額を授与することがあります。


資格のある提出内容に対する報奨金の範囲は、次の情報に基づきます。
レポートの品質
支払い可能範囲 (米国ドル) *
Office 保護ビュー サンドボックスのエスケープによる特権の昇格 (Office または AppContainer によってインストールされるものではないコンポーネントやライブラリの脆弱性は、それらを使用するすべてのアプリケーションに当てはまるため除外されます)
いいえ
必須
高い
最大 15,000 ドル
いいえ
必須
低い
最大 9,000 ドル
Word、Excel、PowerPoint の Office マクロをブロックするセキュリティ ポリシーをバイパスすることによるマクロの実行。
いいえ
必須
高い
最大 15,000 ドル
いいえ
必須
低い
最大 9,000 ドル
事前に定義された拡張子のセット (下記参照) に対する Outlook の添付ファイル自動ブロック ポリシーをバイパスすることによるコードの実行 (これらの拡張子は Outlook によって既定でブロックされます)。
いいえ
必須
高い
最大 9,000 ドル
いいえ
必須
低い
最大 6,000 ドル
*Microsoft の独自の裁量で、提出内容の品質と複雑さに基づいて、支払額が増える可能性もあります。

適格な提出の定義:

Office 保護ビュー サンドボックスのエスケープによる特権の昇格
ユーザーのセキュリティを維持するために、Office では 保護ビューを使用して信頼されていないドキュメントを開きます。Microsoft では、サンドボックスのエスケープや特権の昇格を行うその他の Office ベースの手法に関する研究者からの情報の送信をお待ちしております。

マクロ実行をブロックするための既定のセキュリティ ポリシーのバイパス
既定では、マクロ セキュリティ ポリシーにより、ユーザーの操作なしで、マクロの実行がブロックされます。この報奨金プログラムでは、Microsoft Word、Excel、PowerPoint で、ユーザーによる追加の操作もドキュメントの信頼も必要とせずにマクロを自動的に実行可能にする脆弱性について、研究者から情報が送信されることを求めています。
Outlook の添付ファイル ブロック一覧のバイパス
現在、Outlook では、添付ファイルとして複数のファイル拡張子がブロックされています。以下の詳細な一覧で示されている拡張子に対する既存のブロック ポリシーをバイパスできる手法に関する情報をお待ちしています。

ブロックされる拡張子の最新の一覧は次のとおりです。
ade、adp、app、asp、bas、bat、cer、chm、cmd、cnt、com、cpl、crt、csh、der、diagcab、exe、
fxp、gadget、grp、hlp、hpj、hta、inf、ins、isp、its、jar、jnlp、js、jse、ksh、lnk、mad、maf、mag、
mam、maq、mar、mas、mat、mau、mav、maw、mcf、mda、mdb、mde、mdt、mdw、mdz、
msc、msh、msh1、msh2、msh1xml、msh2xml、mshxml、msi、msp、mst、ops、osd、
pcd、pif、pl、plg、prf、prg、ps1、ps2、ps1xml、ps2xml、psc1、psc2、pst、reg、scf、scr、sct、
shb、shs、tmp、url、vb、vbe、vbp、vbs、vsmacros、vsw、ws、wsc、wsf、wsh、xbap、xll、xnk

Outlook でブロックされる添付ファイルの詳細については、こちらをご確認ください。

メモ: この機能では、添付ファイルとして現在ブロックされていないファイル拡張子が RCE の原因になるケースについては対応していません。たとえば、サードパーティのソフトウェアによってインストールされる一部の実行可能添付ファイルの種類はブロックされません。

不適格な提出となる条件

バグ報奨金プログラムの目的は、Microsoft のユーザーおよびユーザーのデータのセキュリティに直接的で明白な影響を与える重大な脆弱性を見つけることです。Microsoft では、当社のブラウザーにおけるセキュリティの脆弱性について説明する提出内容をお待ちしていますが、このプログラムの報奨金が得られない脆弱性の例を次に示します。
  • Windows デスクトップ上の最新の Office Insider スロー ビルドより前のものでの脆弱性
  • ユーザー生成コンテンツの脆弱性
  • 広範囲に及ぶユーザー操作またはありそうもないユーザー操作を必要とする脆弱性
  • 既存のセキュリティ機能を無効にすることで見つかった脆弱性
  • Office によってインストールされたものではないコンポーネントの脆弱性
  • 脆弱性を発生させるシステムにインストールされた可能性のあるサードパーティ コンポーネントの脆弱性
  • 保護ビューが Office コードで明示的に有効化されていないか、報告されたシナリオのために既定で有効になっている場合の保護ビューのエスケープに関する脆弱性
  • アプリケーション コンテナーの脆弱性

Microsoft がその独自の裁量によって不適格であると判断したその他のカテゴリの脆弱性。

Microsoft は、提出内容が報奨金の対象である場合でも、当社の独自の裁量で脆弱性のこれらのカテゴリのいずれかに該当すると判断した提出を却下する権利を留保します。

法的通知

Microsoft の法律上のガイドラインに関する追加情報を入手するには、こちらにアクセスしてください。

Microsoft バグ報奨金プログラムにご参加いただきありがとうございます。


リビジョン履歴

  • 2018 年 12 月 7 日:重複する報告ポリシーを更新し、リビジョン履歴を追加しました。