セキュリティ研究者が協調的な脆弱性の公開を通じて Microsoft のセキュリティ エコシステムに対して行った貢献を表彰することは重要です。このページでは、MSRC の研究者表彰モデルのポイントの獲得評価の確立について説明します。

ポイントの獲得

Microsoft セキュリティ レスポンス センターに報告された有効な各脆弱性には、脆弱性の深刻度と影響度に基づいてポイントが付与されます。報告のソースは、CVD 下にある限り重要ではありません。Zero Day Initiative (ZDI) および iDefense を通じて提出された報告も、ポイントの対象になります。

合計ポイントに基づいて、公開のリーダーボードやランキング、および年間の最も価値ある MSRC セキュリティ研究者のリストで表彰されたり、特別なイベントやプログラムへの参加を招待されたりする場合があります。公開の表彰プログラムは常に「オプトイン」であり、既定では匿名ですが、名前や別名で表彰されるように選択することもできます。

次のような仕組みになっています。

No Data Available
ポイントの獲得方法

基本ポイントは、提出する脆弱性の深刻度とセキュリティへの影響によって決まります。

重大

重要

その他

リモートでのコード実行

60

40

該当なし

該当なし

該当なし

特権の昇格

40

20

該当なし

該当なし

該当なし

情報漏えい

30*

15

該当なし

該当なし

該当なし

スプーフィング

20

15

該当なし

該当なし

該当なし

セキュリティ機能のバイパス

該当なし

10

該当なし

該当なし

該当なし

改ざん

該当なし

10

該当なし

該当なし

該当なし

サービス拒否

該当なし

5-20**

該当なし

該当なし

該当なし

否認

該当なし

5

該当なし

該当なし

該当なし

軽減策のバイパス***

該当なし

該当なし

該当なし

該当なし

60

* Critical Information Disclosure 脆弱性の例: CVE-2014-0160
** Windows Virtualization のサービス拒否の脆弱性には 20 ポイントが付与されます。その他のすべての脆弱性には 5 ポイントが付与されます。
*** 軽減策のバイパスの報奨金プログラムの対象となる提出物には、深刻度またはセキュリティへの影響に関係なく 60 ポイントが付与されます。

ボーナス乗数の獲得方法

影響を受ける製品またはサービスに応じて、基本ポイントにボーナス乗数が適用される場合があります。特定の製品およびサービスで報告された脆弱性には、そのポイントに適用されるボーナス乗数が付与されます。この一覧は時間が経つと変更される場合があるので、調査ボーナス乗数の一覧には常に注意を払ってください。

3 倍の調査領域

Azure
ID
Windows (仮想化/カーネル)
Windows Defender
Mitigation Bypass
MSRC ポータル

2 倍の調査領域​

Windows 
Office 
Edge on Chromium 
PowerBI 
Developer Division 
    - .NET
    - Visual Studio
    - PowerShell Core
    - NuGet パッケージ マネージャー

 

1 倍の調査領域​

 

 

3 倍、2 倍、対象外の一覧に含まれない調査領域では、基本ポイントの修正はありません

 

対象外の調査領域

サブドメイン乗っ取りの脆弱性
GitHub*  
LinkedIn*
サポート終了製品

*Microsoft セキュリティ レスポンス センターでは現在、GitHub および LinkedIn の脆弱性を扱っていません。問題を報告するには、GitHub のバグ報奨金プログラムLinkedIn のバグ報奨金プログラムにアクセスしてください。

自分が報告した脆弱性が他の研究者によって報告済みであった場合

修正プログラムがない脆弱性の報告を最初に提出した場合は、100% のポイントを受け取ります。報告の提出が 2 番目であった場合は、50% のポイントを受け取ります。同じ問題の追加の報告では、ポイントを受け取れません。

Windows Hyper-V での重大なリモート コード実行の脆弱性に関する報告では、60 ポイントと 3 倍の調査ボーナスを受け取ります。

  • この脆弱性に関する報告を最初に提出した場合、100% のポイント (60 x 3 = 180 ポイント) を受け取ります。
  • 同じ脆弱性の報告を提出したのが 2 番目の場合、50% のポイント (60 x 3 x 0.5 = 90 ポイント) を受け取ります。
  • 同じ脆弱性の報告を提出したのが 3 番目の場合、ポイントは受け取れません。
ポイントが付与されるタイミング

報告を検証して Microsoft のサービス条件を満たしていると判断した後、通常 2 週間以内にポイントを付与します。複雑なケースでは時間がかかることがあります。

 

評価スコア

評価スコアには、正確性重要性の基準が含まれます。評価スコアは公開されておらず、個々のセキュリティ研究者にのみ提供されます。評価スコアが高いと、報告のトリアージや評価が迅速に行われる場合があります。

 

正確性

重要性

最も重要な基準

有効な脆弱性報告

重大/重要な深刻度の報告

定義

次のように評価された場合、報告は無効であるとみなされます。
• セキュリティの脆弱性ではない
• 修正の予定なし
• 再現手順が記載されていない

 

上記のいずれにも該当しない場合は、有効な報告とみなされます。

報告内容が調査され、深刻度が重大または重要に割り当てられている

計算

有効な脆弱性報告の数と提出した合計報告数の割合

 

例:

• 合計 10 件の報告
• 1 件の報告が「セキュリティの脆弱性ではない」と評価された
• 2 件の報告が「修正の予定なし」と評価された
• 有効な報告の数 = 10 - 1 - 2 = 7

 

計算:(7 ÷ 10) x 100% = 70%. 
お客様の正確度スコア:70

重大/重要な報告の数と提出した合計報告数の割合

 

例:

• 合計 10 件の報告
• 3 件の報告が調査され、深刻度が重大に割り当てられた
• 3 件の報告が調査され、深刻度が重要に割り当てられた
• 重大/重要なレポート = 3+3 = 6

計算:(6 ÷ 10) x 100% = 60%. 
お客様の重大度スコア:60

スコアのスケール

0 - 100

0 - 100

関連する投稿

2020 年 4 月 23 日: 2020 Q1 のトップ セキュリティ研究者を称えます

2020 年 2 月 3 日: 2020 年セキュリティ研究者の表彰

2020 年 1 月 15 日: MSRC 2019 Q4 セキュリティ研究者ランキングを発表

2019 年 10 月 17 日: セキュリティ研究者四半期ランキングを発表 (2019 Q3)

2019 年 8 月 7 日: 2019 年 MSRC で最も価値あるセキュリティ研究者を発表

2019 年 7 月 30 日: 2019 年セキュリティ研究者の表彰

2019 年 7 月 29 日: 公式 – セキュリティ研究者を表彰する仕組み

 

リビジョン履歴

  • 2019 年 7 月 29 日: 情報の公開
  • 2020 年 1 月 28 日: 関連する投稿セクションを追加
  • 2020 年 4 月 23 日: 公開済みのブログ記事を追加