プログラムの説明

Microsoft Windows Insider Preview 報奨金プログラムでは、世界中の対象となる研究者に、最新の Windows Insider Preview (WIP) の Dev Channel で再現される脆弱性を見つけて送信することをお願いしています。資格要件を満たす提出内容は、500 米国ドルから 100,000 米国ドルの報奨金の対象となります。

報奨金は Microsoft の裁量で授与されます。脆弱性の深刻度や影響度、また提出内容の品質によって、Microsoft はさらに多くの報奨金を授与する可能性があります。この報奨金プログラムは、これらの契約条件と Microsoft 報奨金の契約条件で概説されている内容の対象となります。

対象となる提出内容

報奨金プログラムの目的は、最新バージョンの Windows を使用しているお客様のセキュリティに直接かつ実証可能な影響を与える重大な脆弱性を発見することです。

報奨金の資格を得るには、脆弱性に関する提出内容において次の基準が満たされている必要があります。

  • これまで Microsoft に報告されていなかった脆弱性を特定する。
  • その脆弱性は、"重大" または "重要" な脆弱性である必要がある。
  • お客様は
    最新の Dev Channel
    バージョンの Windows Insider Preview に対して提出内容についてのテストを行い、そのバージョンで再現性があることを実証する必要があります。
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\BuildLabEx レジストリ キーのビルドおよびリビジョン文字列が含まれている。
      • たとえば、99999.1.amd64fre.fs5_release.180914-1434.en-us です。
  • 明確、簡潔で、再現性のある手順を文書またはビデオ形式で含め、Microsoft のエンジニアリング チームが問題を迅速に再現、理解、修正するために必要な情報を提供する。
  • Windows セキュリティ サービス条件に従って、サービスが提供されて報奨金の対象となる機能に影響を与える。

Microsoft は提出内容を迅速に評価するために、研究者の方に以下の情報の提供をお願いしています

  • MSRC Researcher Portal から
    送信する
  • 脆弱性の提出内容で、お客様のレポートがどの攻撃シナリオに該当するか (該当する場合) を明記する
  • 脆弱性に対する攻撃ベクトルを記述する

初期フェーズ

開始するには、Windows Insider Preview プログラムに参加し、最新の Dev Channel バージョンをダウンロードしてください

詳細については、次を参照してください。

報奨金

報奨金の範囲は 500 米国ドルから最高 100,000 米国ドルです。 Microsoft の独自の裁量で、脆弱性の重要度と影響度、および提出内容の品質に基づいて、報奨金がより高額になる可能性もあります。 報奨金の対象とならない脆弱性を報告した研究者でも、その報告が脆弱性の修正につながった場合は、表彰の対象となる可能性があります。

報告された脆弱性が「攻撃シナリオ」に基づく報奨金の対象とならない場合は、「一般報奨金」の対象となる可能性があります。対象となる提出内容は、対象の報奨金の最高額 (単一) が授与されます。

攻撃シナリオ報奨金

 

攻撃ベクトル

シナリオ

報奨金の最高額

リモート (事前の実行なしの前提)

認証されておらず、サンドボックス化されていないコードの実行で、ユーザーの操作を伴わない

$100,000

ほとんど3またはまったくユーザーの操作を伴わないプライベート2 ユーザー データへの1非認証および非承認のアクセスを実証した

$50,000

まったくユーザーの操作を伴わない非認証のデータの破棄または永続的なサービス拒否

$30,000

ローカル (事前の実行が前提)

ほとんど、またはまったくユーザーの操作を伴わないサンドボックス4 エスケープ

$20,000

サンドボックス化4されたプロセスから、ユーザーの操作をまったく伴わないプライベート ユーザー データへの不正アクセスを実証した

$20,000

1実証済みとは、報告された脆弱性がどのようにして個人データへのアクセスに利用されるかを詳細に説明する必要があることを意味します。

2プライベート データとは、Windows のセキュリティ境界の内側で保護されたユーザー ファイル、メール、写真、または類似のデータを意味します。

3ほとんどユーザーの操作を伴わないものには、ファイルのクリック、Web サイトの閲覧、ログオンなどが含まれますが、これらに限定されません。

4対象となるサンドボックスは、Windows Defender Application Guard RPC broker (HVSIRPCD)、Chromium レンダラー プロセスを基にした新しい Microsoft Edge、Windows Defender Sandbox (MsMpEngCP)、WinHTTP Web Proxy Auto-Discovery Service (WPAD) サンドボックス化プロセス、UtcDecoderHost.exe サンドボックス化プロセスです。対象外のサンドボックスは AppContainer (AC) と Internet Explorer のサンドボックスで、これらは一般報奨金の対象となります (下記参照)。

一般報奨金

 

セキュリティへの影響

報奨金の最高額

リモート コード実行

$5,000

特権の昇格

$2,000

セキュリティ機能のバイパス

$1,000

情報漏えい

$1,000

スプーフィング

$1,000

改ざん

$1,000

サービス拒否

$500

対象外の提出内容および脆弱性

Microsoft は、事例に応じ、謹んで脆弱性レポートを受け取り、レビューを行いますが、脆弱性の種類によっては報奨金の対象にならない場合があります。深刻度が低いか対象外である一般的な問題の一部を次に示します。これらでは通常、報奨金を得られません。

  • 提出時に Windows Insider Preview Dev Channel でのテストと再現性を実証していない提出内容
  • Microsoft およびより広いセキュリティ コミュニティで既に知られている公開済みの脆弱性。
  • "低" または "中程度" の深刻度の脆弱性
  • サービスが提供されていない機能に影響を与える提出内容で、Windows セキュリティ サービス条件に従った報奨金の対象である。
  • Windows ストア、Windows アプリ、Windows におけるファームウェア、サードパーティ製のドライバー、またはサードパーティ製ソフトウェアの脆弱性。
  • 広範囲に及ぶユーザー操作またはありそうもないユーザー操作を必要とする脆弱性。
  • ダウングレードされている既定のセキュリティ設定または一般的でない構成を使用するシステムに依存する脆弱性。
    • サーバー メッセージ ブロック プロトコル (SMBv1) を有効にする必要がある脆弱性
    • ユーザー アカウント制御 (UAC) を無効にした状態でのサンドボックス エスケープ
  • Microsoft Internet Explorer または Microsoft Edge Legacy 経由でのみ到達できる脆弱性。新しい Microsoft Edge を使用してください。
  • Microsoft が積極的に幅広い軽減策を調査している脆弱性のパターンまたはカテゴリ。たとえば、2020 年 4 月の時点で、次のようなものが含まれます (ただしこれらに限定されません)
    • COM、WinRT、RPC サービスなどのユーザーモード コンポーネントでの競合状態によるメモリ破損を含むローカルの脆弱性
    • ジャンクションまたはマウントポイントからのファイル パス リダイレクトを含むローカルの脆弱性。

関連情報

その他の情報については、FAQ をご覧ください。

  • 同じ問題に対して複数のバグ報告を複数の参加者から受信した場合、報奨金は最初の提出に対して付与されます。
  • 重複している報告によって、Microsoft が以前は知らなかった新しい情報が提供される場合は、重複する提出に対して差額を授与することがあります。
  • 1 つの提出内容が複数の報奨金プログラムの対象となる可能性がある場合は、1 つの報奨金プログラムから最高額の支払いを 1 回受け取ります。
  • Microsoft は、当社の独自の裁量でこれらの基準に合わないと判断した提出を却下する権利を留保します。

リビジョン履歴

  • 2017 年 7月 26 日:プログラムが開始されました
  • 2019 年 1 月 17 日:セキュリティ サービス条件を追加し、重複するレポートのガイドラインを更新しました。一時的な Windows サンドボックス エスケープの適用範囲を追加し、報奨金のレベルを増やしました。
  • 2019 年 10 月 3 日: Defender AV サンドボックス エスケープの報奨金ボーナスを削除しました。「レポートの提供方法」セクションを追加しました。
  • 2020 年 2 月 10 日: "報奨金の適用範囲" セクションの名前を "対象外の提出内容および脆弱性" に変更しました。
  • 2020 年 4 月 22 日: 範囲外の追加 - Microsoft Internet Explorer または Microsoft Edge Legacy に依存した脆弱性、および Microsoft が積極的に幅広い軽減策を調査している脆弱性のパターンまたはカテゴリ (サンプルを含む)。
  • 2020 年 7 月 24 日:攻撃シナリオ報奨金と一般報奨金の表を追加し、報奨金の最高額を 100,000 米国ドルに増額しました。対象となる提出内容は、Dev Channel でテストを行い、再現性があることを明示する必要があるという要件を追加しました。提出内容の資格を、必須の基準と推奨の基準に分けました。
  • 2020 年 8 月 27 日: "明確、簡潔で、再現性のある手順" を "推奨" から "必須" に移動しました。リモート攻撃のシナリオについて、"認証されていない" ことが必須であることを明確にしました。攻撃シナリオに "実証済み" の定義を追加しました。