Microsoft セキュリティ レスポンス センターでは、Microsoft の製品およびサービスに影響を与えるセキュリティの脆弱性に関して、すべての報告を調査します。私たちは、セキュリティ研究者が Microsoft のセキュリティの脆弱性が見つかったと考えている場合、協力して調査を進めたいと考えています。

Microsoft セキュリティ レスポンス センターでは、Microsoft 製品のテクニカル サポートは提供されないことに注意してください。潜在的なセキュリティの脆弱性の報告以外について支援が必要な場合は、以下の項目から最も近い状況を選んで展開すると、詳細を参照できます。
|

注: 以下のガイダンスでは、ご自身で調査を行っていることを前提としています。他の団体のために作業しているときに脆弱性を発見した場合 (侵入テスト中など) は、こちらをクリックしてください

セキュリティの脆弱性に関する Microsoft の定義を満たすセキュリティの脆弱性を見つけたと考えられる場合は、https://msrc.microsoft.com/create-report で MSRC に報告を提出してください。問題の性質と範囲をより適切に理解するために、以下に記載されている情報をご提供ください (ご提供いただける範囲)。報告されている脆弱性が侵入テストによるものである場合は、レポートを理解し、改善策を提案することができる Microsoft のカスタマー サポート サービス チームを通じて作業してください。レポートにまったく新しいセキュリティ脆弱性が含まれている場合は、カスタマー サポート サービス チームが MSRC にお客様をお繋ぎすることもできますし、またはお客様が直接報告することもできます。
  • 問題の種類 (バッファー オーバーフロー、SQL インジェクション、クロスサイト スクリプティングなど)
  • バグを含む製品およびバージョン、またはオンライン サービスの場合は URL
  • インストールしている製品の Service Pack、セキュリティ更新プログラム、またはその他の更新プログラム
  • 問題を再現するために必要な特別な構成
  • 新しいインストール環境で問題を再現するための詳細な手順
  • 概念実証または悪用コード
  • 問題の影響 (攻撃者が問題を悪用できる方法など)
これらの情報は、報告を迅速にトリアージするのに役立ちます。バグの報奨金を目的として報告している場合は、さらに詳細な報告があれば、より高額の報奨金を獲得できる可能性があります。アクティブな報奨金プログラムの詳細と条件については、Microsoft バグ報奨金のページをご確認ください。
 
1 営業日以内に Microsoft チームからの返信があります。連絡がない場合は、フォローアップして元のメッセージを Microsoft が受信していることを確認してください。
 
Microsoft セキュリティ レスポンス センターでは、すべての脆弱性報告に対して次のプロセスを実行します。
  • 報告をトリアージし、さらに詳細な調査のためにケースを開く必要があるかどうかを判断します。
  • 公開されているサービス条件に従って調査し、対処します。
  • 修正プログラムのリリース時に、エコシステムを保護するための報告者の貢献に対して公的に謝辞を表します。
Microsoft は協調的な脆弱性の公開 (CVD) に従っており、エコシステムを保護するために、Microsoft への報告の提出者も CVD に従うことを要求しています。

脆弱性レポートをご提出いただきありがとうございます。脆弱性レポートをケース マネージャーに提出していただいた場合、通常は 1 営業日以内に脆弱性レポートが届いたことを確認した上で回答させていただきます。Microsoft のチームは、月曜日から金曜日までの通常の営業時間で勤務しています。2 営業日経っても返信がない場合は、迷惑メール フォルダーで返信をご確認ください。

 

次に行われる処理

  • トリアージ:Microsoft のチームは、お客様のレポートがセキュリティ脆弱性の定義を満たしているかどうかを判断し、製品エンジニアリング グループに割り当てます。お客様が自動通信を選択している場合は、ケースが非対応として閉じられた場合、およびさらに評価が必要なときに、トリアージ チームからのメッセージを受けとります。
  • ケースの割り当てと評価: お客様のレポートがセキュリティの脆弱性であると判断された場合は、ケース番号が割り当てられます。ケース マネージャーは、その評価と脆弱性に対処するための計画の作成を監督します。
  • 評価: 問題が再現された場合、Microsoft はその深刻度と影響を評価し、製品エンジニアに送り、さらなる対策を検討します。ポータルのケースの状態が「評価」に切り替わっているのがお分かりいただけます。自動通信を受信することを選択した場合は、同じことを確認するメールを受けとります。問題の複雑さとレポートの完全性に基づいて、このプロセスには時間がかかることがあります。通常は、お客様のケースが開発段階に移行したときにメールを受け取りますが、これは通常 2 ~ 3 週間かかります。その間に Microsoft からの返信がない場合は、Microsoft の返信がお客様の迷惑メール フォルダーに入っているか、問題の複雑さを評価するのに時間がかかっている可能性があります。
  • 開発:お客様の問題を再現することができた場合、お客様のケースを適切なエンジニアリング グループに送り、さらなる措置を講じさせていただきます。すぐにサービスを提供するには適切ではないケースもありますが、今後のリリースで対処すべき候補として検討されます。
  • リリース: "リリース" 状態にあるケースは、リリースの準備中です。これは、Patch Tuesday リリースや他のサービス更新プログラムの一部として公式に公開されるのを待機していることを意味する場合もあります。お客様のケースが解決され、"解決済み" の状態になった後は、発見したことを自由に公開議論することができます。お客様の貢献に対し、Microsoft は Researcher Acknowledgements Page にクレジットを掲載します (特に指定がない限り)。

Outlook.com アカウントが侵害されている場合は、アカウントを復旧し、再びハッキングされないように措置を講じることができます。

Windows サポート サイトにアクセスして、パスワードを忘れた場合やその他のサインインに関する問題が発生したときの対処方法を参照してください。

使用しているコンピューターにスパイウェア、ウイルス、その他の望ましくないソフトウェアが存在する兆候がある場合は、まずウイルス対策ソフトウェアでコンピューターをスキャンし、問題の解決を試みてください。

また、コンピューターに Microsoft Update で配布している最新のセキュリティ更新プログラムがすべて適用されていること、およびセキュリティ更新プログラムを自動的に取得していることを確認してください。

問題が解決しない場合は、ウイルスおよびセキュリティ ソリューション センターにアクセスすると、その他のサポート オプションが見つかります。

Microsoft セキュリティ更新プログラムに関する問題が発生している場合は、Microsoft サポート サイトにアクセスして Windows Update の問題の修正方法を見つけるか、Microsoft のカスタマー サポートにお問い合わせください。
 
 
セキュリティ更新プログラムに関する技術情報が必要な場合は、セキュリティ更新プログラム ガイドを参照してください。このガイドでは、特定の更新プログラムに関する情報を検索したり、リリース日や製品の種類で情報をフィルターしたりできます。
 

お客様の地域に適したサポート情報を見つけるには、Microsoft 製品サポート サービスにアクセスしてください。

TechNet の Forums ホーム ページにアクセスして、質問と回答を参照するか、ご自身で質問してみてください。

多くの場合、サイバー犯罪ではフィッシング電子メール メッセージを使用して個人情報を盗み出そうとします。フィッシング電子メール メッセージを識別する方法と、Microsoft の名前を不正に使用した詐欺を避ける方法についてご確認ください。

最新の詐欺の詳細については、Security Tips & Talk のブログ記事を参照してください。

詐欺の被害を受けたと考えられる場合は、被害内容を報告し、今後被害に遭わないようにする方法をご確認ください。

piracy@microsoft.com に電子メールで連絡するか、Microsoft ソフトウェアの不正コピー防止サイトにアクセスして詳細情報を参照してください。

ウイルス、ワーム、またはトロイの木馬を提出する場合は、avsubmit@submit.microsoft.com 宛に送信してください。スパイウェアまたはその他のマルウェアを提出する場合は、windefend@submit.microsoft.com 宛に送信してください。

詳細については、Microsoft サポートのページをご覧ください。
 

Please submit your thoughts at Contact Us: Questions About Microsoft Products.