このページでは、Microsoft 報奨金プログラムに関してよく寄せられる質問に回答します。Microsoft 報奨金プログラムに適用されるすべての条件については、Microsoft 報奨金の条件をご覧ください。
|

オンライン ポータルを使用して、ここにあるバグの送信に関するガイドラインを活用し、脆弱性を再現する方法など、お客様が気付いたことを Microsoft に送信してください。
 
重要な注意事項:
  • Microsoft へのすべての脆弱性の報告において、協調的な脆弱性の公開 (CVD) に従うようにしてください。CVD に従っていない提出内容は、報奨金の対象にならない場合があり、報奨金プログラムへの以降の参加が不適格と見なされる可能性があります。
  • Microsoft は、解読不能または不完全な提出内容を明確にするために、合理的な努力を行いますが、多くの場合、提出内容が完全であるほど、より高額な報奨金の対象となります (詳細については、プログラムの報奨金の表をご覧ください)。
  • 個人の送信者が提供できる、および報奨金を受け取れる可能性のある提出の数に制限はありません。

  1. Microsoft が提出を受信したことを確認するメールを受信します。
  2. MSRC ケース マネージャーとエンジニアリング チームが提出を確認します。これには脆弱性の再現と、深刻度およびセキュリティ上の影響度の評価が含まれます。確認にかかる時間は、お客様の提出の複雑度と完全度により異なる場合があります。ただし通常かかる時間は 2 週間となっています。
  3. お客様の提出が再現され評価されると、報奨金チームがお客様の提出が報奨金の対象となるかどうかを確認します。お客様の提出が報奨金の対象となった場合、報奨金チームがお客様にその良いニュースについてご連絡を差し上げ、報奨金の支払いプロセスを開始します。
  4. お客様は、報奨金支払いプロバイダーのいずれかに登録を完了するように依頼されます。登録が完了すると、お客様はそのプロバイダー経由で報奨金をお受け取りになれます。
  5. Microsoft は、セキュリティ研究者への謝辞または Online Services Security での謝辞によって、報奨金を授与されたほとんどの方を表彰します。

Microsoft 報奨金の条件の「プログラム参加資格」セクションをご覧ください。

Microsoft 報奨金の条件の「プログラム参加資格」セクションをご覧ください。

  • 報奨金の範囲の製品とサービス、および報奨金の金額は、Microsoft 報奨金プログラム ページで公開されています。
  • Microsoft は、どの提出内容が条件を満たすかの決定において単独裁量権を保持しています。
  • 同じ問題に対して複数のバグ報告を複数の参加者から受信した場合、報奨金は最初の対象となる提出に対して付与されます。
  • 重複している報告によって、Microsoft が以前は知らなかった新しい情報が提供される場合は、重複する報告を提出した方に差額を授与することがあります。
  • 1 つの提出内容が複数の報奨金プログラムの対象となる可能性がある場合は、1 つの報奨金プログラムから最高額の支払いを 1 回お受け取りになれます。

報奨金は、Microsoft のお客様の保護を支援してくださる研究者の方を Microsoft が表彰する 1 つの方法です。お客様の提出が報奨金の対象とならない場合でも、お客様は研究者表彰ポイントを獲得し、修正や更新へのお客様の貢献が公式に評価されます。

お客様を保護することは、Microsoft の最優先事項です。Microsoft は、適切なタイミングで各脆弱性レポートに対処するように努力します。Microsoft がこの作業を行っている間は、報奨金への提出内容は極秘のままにする必要があります。第三者に開示したり、ペーパー レビューや会議の提出の一部として開示したりすることはできません。脆弱性が修正された後に、調査の概要と、元に戻すことができないデモンストレーションを提供することができます。脆弱性が修正された後 30 日間は、詳細な概念実証悪用コードの公表を避けてください。公表された場合、お客様に対して容易に攻撃が行われることになります。提出内容の脆弱性が修正されると、Microsoft から提出者に通知します。修正プログラムがリリースされる前に報奨金を受け取る場合があるため、報奨金を修正完了の通知として捉えないでください。
  • 修正後に脆弱性について公開する予定がある場合は、bounty@microsoft.com にお問い合わせください。これには、ブログ記事、公的なプレゼンテーション、ホワイトペーパー、その他のメディアが含まれます。
  • ユーザーに更新する時間を与えるために、通常、Microsoft が提出内容を修正した後、公式に議論する前に少なくとも 30 日間待つことを推奨しています。

はい。セキュリティの脆弱性が発見され次第、Microsoft はそれについて知る必要があります。Microsoft は、報告された脆弱性に対する報奨金を提出者に授与します。脆弱性の報告を提出してから 90 日以内に機能する悪用方法を提供する場合は、高品質な報告または機能する悪用方法の報告に対して追加の報奨金を授与します。たとえば、クリティカルな RCE に関する提出の場合、裁定時に 6,000 ドルが付与されます。機能する悪用方法を 90 日以内に提出すると、さらに 9,000 ドルが付与されます。

Microsoft では、自社のプログラムを継続的に評価して、セキュリティ研究コミュニティと Microsoft のお客様の双方のメリットを増やす方法を決定しています。

独自に考案した軽減策バイパス案を提出する場合、事前登録は必要ありません。secure@microsoft.com に送信するだけで済みます。実際に使用されていることを発見した軽減策バイパス手法を提出する場合は、提出する前に事前登録する必要があります。開始するには、bounty@microsoft.com にメールをお送りください。こちらの完全なプログラム条件をご確認ください。

はい。条件で規定されているように、防御手法の提出内容が新しいものと見なされる場合は、既存の軽減策バイパスをブロックできる防御手法に対して最高で 100,000 米国ドルを授与します。防御手法と、その手法が機能することを証明するための対応する悪用手法がある場合は、このプログラムの対象となります。

Microsoft は、基準を満たした研究者に報奨金を付与するために、HackerOne および Bugcrowd と提携しています。HackerOne と Bugcrowd は、報奨金を迅速に付与できるように Microsoft を支援しています。また、Paypal、Payoneer、慈善寄付、暗号通貨、30 を超える通貨での直接銀行振替など、より多くの報奨金の選択肢を提供しています。HackerOne または Bugcrowd を介して授与される Microsoft の報奨金は、そのプロバイダーのプラットフォームでの研究者の全般的な評判にも寄与します。

Microsoft は HackerOne および Bugcrowd プラットフォームとは別に報奨金プログラムを管理します。脆弱性レポートは、MSRC 提出ポータルまたは secure@microsoft.com を使用して Microsoft に直接提出される必要があり、これらの提出内容の詳細は支払いプロバイダー パートナーと共有されません。支払いプロバイダー パートナーに提供される情報は、報奨金の金額、ケース番号、およびケースの重大度のみです。提出内容の評価、修正、またはリリースの状態に関する質問は、Microsoft にお送りください。

Microsoft は、報奨金の受け取りに HackerOne または Bugcrowd のいずれかを使用するよう、すべての研究者の方に推奨します。これらのプロバイダーのいずれかを使用することができない研究者の方は、報奨金の受け取りに Microsoft の企業支払いシステムを使用することもできます。Microsoft の企業システムを通じた報奨金の処理には 1 か月から 3 か月かかる場合があり、HackerOne や Bugcrowd を通じた報奨金の受け取りよりも非常に長い時間がかかります。