米国 Microsoft は長年、同社がバグ報奨金プログラムを開始すべきであるという情報セキュリティ研究者からの要請に対し、抵抗を続けてきた。だが6月19日、Microsoft は3種類のバグ報奨金構想を公開し、この要請に応えた。

Microsoft がバグ報奨金プログラムを開始 − 報奨金額は最大10万ドル
Microsoft によるバグ報奨金プログラムには、セキュリティ研究者が最大で10万ドルの賞金を受け取ることができる「Mitigation Bypass(バイパス緩和)」報奨金が含まれている。Microsoft はこの報奨金を、Windows 8.1 プレビュー版に対する「まったく新しい脆弱性の悪用テクニック」を示したセキュリティ研究者に対して授与するとしている。同社はまた、IE 11 プレビュー版でバグを発見した研究者に対しては、最大で1万1,000ドルを授与する。

Microsoft はさらに追加で5万ドルを用意。こちらは、セキュリティ機構をバイパスする攻撃に対して、有効な緩和策を Microsoft に提示した研究者のためのものだ。

バグ報奨金プログラムは、Microsoft がこの2年間取り組みを続けてきたプロジェクトの延長線上にあるものとも言える。Microsoft は Black Hat カンファレンスで、「Blue Hat Prize」を設け、26万ドルの賞金を研究者に授与してきた。

Microsoft Trustworthy Computing の Dustin Childs 氏は、InternetNews.com に対し次のように説明している。

「Microsoft は、2011年、2012年の Black Hat コンテストで、連続して Blue Hat ボーナスを提供した。これは、Microsoft が、ソフトウェアの脆弱性を発見することよりも、アタッカーからの侵入技術に対する有効な緩和策を発見する方が重要であると考えているためだ。Blue Hat で賞金を獲得した3名が発表したのは、いずれも『Return-Oriented Programming(ROP)』攻撃に対応した、脆弱性緩和技術に関するものだった」

IE 10 の脆弱性は?

Microsoft の新たな報奨金プログラムは、IE 10 およびそれ以前のバージョンには直接関係していない。Childs 氏は次のように説明している。

「他のベンダーなどが実施している報奨金プログラムを検証した結果、報奨金制度を特定プロダクトのプレビュー段階に組み込むことが、Microsoft の開発プロセスに最もふさわしいと判断した。製品をリリースする前に、可能な限り多くのバグに対応することは、顧客の混乱を最小限に留めることにもつながる」

Tripwire のディレクター Andrew Storms 氏は、Microsoft のバグ報奨金プログラムには制約が多いと述べた。対象となる製品も限られているし、期間も限定されている(IE 11の場合、プレビュー期間の最初の30日間)。とはいうものの、それでもこのプログラムには意味があると、Storms 氏は語った。

「Microsoft のプログラムは、他のベンダーのものほど大規模ではない。だが、それでもこれは同社にとって大きな一歩であるし、消費者に利益を与えるものとなるだろう」

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。