マイクロソフトのバグバウンティプログラムにシナリオベースの報奨金追加、最大30%増額 | ScanNetSecurity
2022.10.01(土)

マイクロソフトのバグバウンティプログラムにシナリオベースの報奨金追加、最大30%増額

 日本マイクロソフト株式会社は4月14日、影響の大きいシナリオにおけるマイクロソフトのバグ報奨金プログラムの拡大について同社ブログで発表した。同ブログはExpanding High Impact Scenario Awards for Microsoft Bug Bounty Programsの抄訳となっている。

製品・サービス・業界動向 業界動向

 日本マイクロソフト株式会社は4月14日、影響の大きいシナリオにおけるマイクロソフトのバグ報奨金プログラムの拡大について同社ブログで発表した。同ブログはExpanding High Impact Scenario Awards for Microsoft Bug Bounty Programsの抄訳となっている。

 マイクロソフトでは、「Microsoft Dynamics 365 and Power Platform Bounty Program」と「M365 Bounty Program」にシナリオベースの報奨金を追加し、研究者が顧客のプライバシーとセキュリティに最も大きな影響を与える可能性のある脆弱性の研究に集中できることを奨励している。対象となるシナリオが提出された場合は、最大30%(合計$26,000 USD)増額となる。

 シナリオと報奨金は下記の通り。

・Microsoft Dynamics 365 and Power Platform Bounty Program
シナリオ:テナント間の情報漏えい
最高額:$20,000

・M365 Bounty Program
対象となる報告には、一般的なM365の報奨金に加え15~30%の報奨金を得ることができる。

シナリオ:信頼できない入力によるリモートコード実行 (CWE-94 “Improper Control of Generation of Code (‘Code Injection’)”)
最高額:+30%

シナリオ:信頼できない入力によるリモートコード実行 (CWE-502 “Deserialization of Untrusted Data”)
最高額:+30%

シナリオ:許可されていないテナント間およびID 間の機密データ漏洩(CWE-200 “Exposure of Sensitive Information to an Unauthorized Actor”)
最高額:+20%

シナリオ:許可されていないID 間の機密データ漏洩(CWE-488“Exposure of Data Element to Wrong Session”)
最高額:+20%

シナリオ:認証を回避してリソースにアクセスする実用的な攻撃に利用可能な ”Confused deputy (混乱した使節の問題)” の脆弱性(CWE-918 “Server-Side Request Forgery (SSRF)”)
最高額:+15%

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. オンライン会議出席者の眼鏡から情報漏えい

    オンライン会議出席者の眼鏡から情報漏えい

  2. イエラエ CSIRT支援室 第 33 回 擬似マルウェアの実行から始まる、イエラエペネトレーションテストの実践的手法を大公開!

    イエラエ CSIRT支援室 第 33 回 擬似マルウェアの実行から始まる、イエラエペネトレーションテストの実践的手法を大公開!

  3. 協会けんぽの基幹システムに障害、健康保険証の発行や現金給付への影響も

    協会けんぽの基幹システムに障害、健康保険証の発行や現金給付への影響も

  4. JPCERT/CCによる「積極的サイバー防御(Active Cyber Defense)」論点整理

    JPCERT/CCによる「積極的サイバー防御(Active Cyber Defense)」論点整理

  5. デジタル庁「GビズID」のメール中継サーバに不正アクセス、約13,000件の迷惑メールを送信

    デジタル庁「GビズID」のメール中継サーバに不正アクセス、約13,000件の迷惑メールを送信

  6. 「ユニフォームタウン」への不正アクセスで63,565名分のカード情報が漏えい

    「ユニフォームタウン」への不正アクセスで63,565名分のカード情報が漏えい

  7. JR西日本グループの山陽SC開発サーバに不正アクセス、個人情報が流出した可能性を完全に否定できず

    JR西日本グループの山陽SC開発サーバに不正アクセス、個人情報が流出した可能性を完全に否定できず

  8. ガートナー、日本におけるセキュリティハイプサイクル2022 公開

    ガートナー、日本におけるセキュリティハイプサイクル2022 公開

  9. 次年度セキュリティ戦略立案中の方必聴、リスク環境の変化と手堅い対策の実装とは

    次年度セキュリティ戦略立案中の方必聴、リスク環境の変化と手堅い対策の実装とはPR

  10. サンソウシステムズが運用管理するサーバに不正アクセス、社内システムで障害が発生

    サンソウシステムズが運用管理するサーバに不正アクセス、社内システムで障害が発生

ランキングをもっと見る