Microsoft Edge (EdgeHTML) 報奨金プログラムは 2020 年 3 月 15 日に終了します

報奨金は、2020 年 2 月 23 日までに受け取った、対象となる提出に対し提供されます。2020 年 2 月 24 日から 3 月 15 日の間に受け取った対象となる提出は、対象となる報奨金の 50% が提供されます。2020 年 3 月 15 日を過ぎて受け取った提出は、報奨金の対象とはならなくなります。対象となる提出は引き続き、3 月 15 日後も研究者表彰プログラムのポイントを受け取ります。

Edge ブラウザーの調査で報奨金を獲得することにご興味のある方は、Microsoft Edge (Chromium ベース) 報奨金プログラムにご招待します。

プログラムの説明

Microsoft Edge (EdgeHTML) 報奨金プログラムでは、最新の Windows 10 Insider Preview スロー リングに搭載されている EdgeHTML に基づく Microsoft Edge で見つかった脆弱性に関して、提出していただける世界中の方々をお待ちしています。提出内容が条件を満たす場合、500 から 15,000 米国ドルの報奨金を受け取る資格があります。報奨金は、その品質と脆弱性の複雑さに基づいて Microsoft の裁量で授与され、Microsoft 報奨金の契約条件に従います。
 
Windows 10 Insider Preview の更新プログラムは、異なるリングでテスターに配信されます。この報奨金プログラムでは、Windows Insider Preview のスロー リングでのバグについて提出をお願いしています。詳細情報については、https://insider.windows.com/ および https://insider.windows.com/Home/GetStartedをご確認ください。
 

対象となる提出の条件

Microsoft バグ報奨金プログラムの目的は、当社のお客様のセキュリティに直接的で明白な影響を与える重大な脆弱性を見つけることです。報奨金の資格を得るには、脆弱性に関する提出内容において次の基準が満たされている必要があります。
  • WIP スロー上の EdgeHTML に基づく現在の Microsoft Edge において、これまでに報告されていない新しい脆弱性が特定されている。
    • 提出には、脆弱性が再現される WIP スロー ビルド番号が含まれている必要があります。
  • 容易に理解できる簡潔な再現手順が含まれている。
    • この情報により、提出内容を可能な限り迅速に処理できるようになり、報告される脆弱性の種類で最高金額が支払われる裏付けとなります。
  • 提出に、概念実証 (PoC) が含まれている。

支払額の設定方法

報奨金の範囲は 500 から 25,000 ドルです。Microsoft の独自の裁量で、提出内容の品質と複雑さに基づいて、より高額になる可能性もあります。報奨金の資格要件を得られない提出内容を提供した研究者は、提出内容が脆弱性の修正につながる場合、依然として公的な謝辞の対象となる場合があります。
  • 同じ問題に対して複数のバグ報告を異なる参加者から受信した場合、報奨金は上記の基準に基づいて最初の提出に対して付与されます。
  • 重複している報告によって、Microsoft が以前は知らなかった新しい情報が提供される場合は、重複する提出に対して差額を授与することがあります。
  • 新しい脆弱性が発見された場合、重大度が "中" レベルであっても報奨金の対象として考慮される可能性があります。
脆弱性の種類

高品質*

ベースライン**

リモートでのコード実行 最大 15,000 ドル 500 ドル から 5,000 ドル
同一オリジン ポリシーの違反 (ユニバーサル XSS) 最大 6,000 ドル 500 ドルから 2,000 ドル
情報漏えい 最大 5,000 ドル 500 ドルから 1,000 ドル
その他の新しい脆弱性 (CSP のバイパス、参照元のなりすまし攻撃など) 最大 2,000 ドル 最大 500 ドル
 
* 上記の提出条件のガイドラインをすべて満たし、高品質の PoC と、攻撃者がユーザーに対してこの脆弱性を悪用する方法が含まれている。
** 上記の提出条件のガイドラインをすべて満たすが、さらなる詳細や情報が含まれていないか、PoC の品質が低い。

適格な提出の定義

概念実証
脆弱性を確実に再現するために必要なファイルと手順。
 
リモートでのコード実行
WIP スローの Microsoft Edge (EdgeHTML) において、デバイスの地理的な場所に関係なく、攻撃者が他者のコンピューティング デバイスにアクセスして変更を加える脆弱性。

不適格な提出となる条件

バグ報奨金プログラムの目的は、Microsoft のユーザーおよびユーザーのデータのセキュリティに直接的で明白な影響を与える重大な脆弱性を見つけることです。Microsoft では、当社のブラウザーにおけるセキュリティの脆弱性について説明する提出内容をお待ちしていますが、このプログラムの報奨金が得られない脆弱性の例を次に示します。
  • 最新の WIP スロー ビルドより前のものでの脆弱性
  • Internet Explorer のすべてのバージョンの脆弱性
  • Chromium に基づく Microsoft Edge のすべてのバージョンの脆弱性
  • ユーザー生成コンテンツの脆弱性
  • 広範囲に及ぶユーザー操作またはありそうもないユーザー操作を必要とする脆弱性
  • メモリ ガベージ コレクター (MemGC) が無効の状態での脆弱性
  • ブラウザーの既存のセキュリティ機能を無効にすることで見つかった脆弱性
  • 試験的な機能の脆弱性
Microsoft は、提出内容が報奨金の対象である場合でも、当社の独自の裁量で脆弱性のこれらのカテゴリのいずれかに該当すると判断した提出を却下する権利を留保します。

提出方法

MSRC 提出ポータルおよびバグ提出のガイドラインを使用して、Microsoft に完全な提出物を送信します。すべての脆弱性の報告において、協調的な脆弱性の公開に従うようにしてください。Microsoft では、解読できない提出や不完全な提出を明確にするために、合理的な努力を行います。

ご質問がありましたらsecure@microsoft.com までお気軽にお問い合わせください。

報奨金

  • Microsoft は、報奨金の金額と提出物が適格で対象内であることを決定する際に単独裁量権を有します。
  • 個々の提出者が提供できる適格な提出の数や、提出者が受け取る報奨金の件数に制限はありません。
  • 同じ問題に対して複数のバグ報告を複数の参加者から受信した場合、報奨金は最初の提出に対して付与されます。
  • 重複している報告によって、Microsoft にとって以前に不明だった新しい情報が提供される場合は、重複する提出に対して差額を授与することがあります。
  • 1 つの提出内容が複数の報奨金プログラムの対象となる可能性がある場合は、1 つの報奨金プログラムから最高額の支払いを 1 回受け取ります。

法的通知

Microsoft 報奨金プログラムの要件と法律上のガイドラインの詳細については、報奨金の契約条件および FAQ をご覧ください。
 

Microsoft バグ報奨金プログラムにご参加いただきありがとうございます。

 

リビジョン履歴

  • 2016 年 8 月 4 日:報奨金プログラムが開始されました
  • 2018 年 12 月 7 日:リビジョン履歴セクションを追加し、プログラムの紹介を更新しました
  • 2019 年 4 月 8 日:Microsoft Edge (EdgeHTML) のみについて、対象となるバージョンが更新されました。報奨金の説明と概要セクションを更新しました。
  • 2020 年 1 月 23 日: プログラムは 2020 年 3 月 15 日に終了します。