このページでは、Microsoft 報奨金プログラムに関してよく寄せられる質問に回答します。Microsoft 報奨金プログラムに適用されるすべての条件については、Microsoft 報奨金の条件をご覧ください。
|

こちらにあるバグ提出ガイドラインを使用して、発見内容 (脆弱性の再現手順を含む) を Microsoft に提出してください。提出用の Web サイトを使用できない場合は、secure@microsoft.com に提出内容を送信してください。
 
重要な注意事項:
 
  • Microsoft へのすべての脆弱性の報告において、協調的な脆弱性の公開 (CVD) に従うようにしてください。CVD に従っていない提出内容は、報奨金の対象にならない場合があり、将来的に報奨金プログラムへの以降の参加が不適格と見なされる可能性があります。
  • Microsoft は、何らかの理由で受信していない提出について責任を負いません。
  • Microsoft は、解読不能または不完全な提出内容を明確にするために、合理的な努力を行いますが、多くの場合、提出内容が完全であるほど、より高額な報奨金の対象となります (詳細については、プログラムのレート表を参照)。
  • 個々の提出者が提供できる適格な提出の数にも、報奨金の支払いを受ける可能性のある適格な提出の数にも制限はありません。

  1. Microsoft が提出を受信したことを確認するメールを受信します。
  2. Microsoft のエンジニアは、脆弱性の再現、セキュリティへの影響の評価を含め、提出内容をレビューします。レビュー時間は、提出内容の複雑さと完全性、および受信した提出数によって異なる場合があります。
  3. 提出内容の検証後に報奨金の対象となる場合、Microsoft は提出者にその旨をご連絡し、報奨金の支払いプロセスを開始します。
  4. 提出者はいずれかの報奨金支払いプロバイダーへの登録を完了します。登録が完了すると、報奨金が授与されます。
  5. Microsoft は、セキュリティ研究者への謝辞または Online Services Security での謝辞によって、報奨金を授与されたほとんどの方を表彰します。

Microsoft 報奨金の条件の「プログラム参加資格」セクションをご覧ください。

Microsoft 報奨金の条件の「プログラム参加資格」セクションをご覧ください。

  • Microsoft は、どの提出内容が条件を満たすかの決定において単独裁量権を保持しています。
  • 同じ問題に対して複数のバグ報告を複数の参加者から受信した場合、報奨金は最初の対象となる提出に対して付与されます。
  • 重複している報告によって、Microsoft が以前は知らなかった新しい情報が提供される場合は、重複する報告を提出した方に差額を授与することがあります。

Microsoft では、当社の製品のセキュリティ保護を支援するセキュリティ研究者の取り組みを長年にわたって表彰してきました。その方法は、公的な謝辞から、ラスベガスでの研究者への感謝パーティのようなイベントへの招待まで多岐にわたります。報奨金プログラムは、セキュリティ研究者との共同作業への継続的な投資における最新のものを表しています。

お客様を保護することは、Microsoft の最優先事項です。Microsoft は、適切なタイミングで各脆弱性レポートに対処するように努力します。Microsoft がこの作業を行っている間は、報奨金への提出内容は極秘のままにする必要があります。第三者に開示したり、ペーパー レビューや会議の提出の一部として開示したりすることはできません。脆弱性が修正された後に、調査の概要と、元に戻すことができないデモンストレーションを提供することができます。脆弱性が修正された後 30 日間は、詳細な概念実証悪用コードの公表を避けてください。公表された場合、お客様に対して容易に攻撃が行われることになります。提出内容の脆弱性が修正されると、Microsoft から提出者に通知します。修正プログラムがリリースされる前に報奨金を受け取る場合があるため、報奨金を修正完了の通知として捉えないでください。
  • 修正後に脆弱性について公開する予定がある場合は、bounty@microsoft.com にお問い合わせください。これには、ブログ記事、公的なプレゼンテーション、ホワイトペーパー、その他のメディアが含まれます。
  • ユーザーに更新する時間を与えるために、通常、Microsoft が提出内容を修正した後、公式に議論する前に少なくとも 30 日間待つことを推奨しています。

はい。セキュリティの脆弱性が発見され次第、Microsoft はそれについて知る必要があります。Microsoft は、報告された脆弱性に対する報奨金を提出者に授与します。脆弱性の報告を提出してから 90 日以内に機能する悪用方法を提供する場合は、高品質な報告または機能する悪用方法の報告に対して追加の報奨金を授与します。たとえば、クリティカルな RCE に関する提出の場合、裁定時に 6,000 ドルが付与されます。機能する悪用方法を 90 日以内に提出すると、さらに 9,000 ドルが付与されます。

Microsoft では、自社のプログラムを継続的に評価して、セキュリティ研究コミュニティと Microsoft のお客様の双方のメリットを増やす方法を決定しています。

独自に考案した軽減策バイパス案を提出する場合、事前登録は必要ありません。secure@microsoft.com に送信するだけで済みます。実際に使用されていることを発見した軽減策バイパス手法を提出する場合は、提出する前に事前登録する必要があります。開始するには、bounty@microsoft.com にメールをお送りください。こちらの完全なプログラム条件をご確認ください。

はい。条件で規定されているように、防御手法の提出内容が新しいものと見なされる場合は、既存の軽減策バイパスをブロックできる防御手法に対して最高で 100,000 米国ドルを授与します。防御手法と、その手法が機能することを証明するための対応する悪用手法がある場合は、このプログラムの対象となります。

Microsoft は、基準を満たした研究者に報奨金を付与するために、HackerOne および Bugcrowd と提携しています。HackerOne と Bugcrowd は、報奨金を迅速に付与できるように Microsoft を支援しています。また、Paypal、Payoneer、慈善寄付、暗号通貨、30 を超える通貨での直接銀行振替など、より多くの報奨金の選択肢を提供しています。HackerOne または Bugcrowd を介して授与される Microsoft の報奨金は、そのプロバイダーのプラットフォームでの研究者の全般的な評判にも寄与します。

Microsoft は、HackerOne および Bugcrowd のプラットフォームとは独立して、当社の報奨金プログラムを継続的に管理します。脆弱性レポートは、MSRC 提出ポータルまたは secure@microsoft.com を使用して Microsoft に直接提出される必要があり、これらの提出内容の詳細は支払いプロバイダー パートナーと共有されません。支払いプロバイダー パートナーに提供される情報は、報奨金の金額、ケース番号、およびケースの重大度のみです。提出内容の評価、修正、またはリリースの状態に関する質問は、Microsoft にお送りください。

 

HackerOne も Bugcrowd も使用できない研究者は、Microsoft の企業支払いシステムを使用して報奨金を受け取ることができます。当社の企業システムを介した報奨金は、月次で処理されます。