マイクロソフト、400万ドルのバグ報奨金をかけたイベント開催へ
特定のMicrosoft製品の脆弱(ぜいじゃく)性を発見したハッカーやセキュリティ研究者は、400万ドルのバグ報奨金の一部を獲得できるかもしれない。 Microsoftは米国時間11月19日、招待制の新しいハッキングイベント「Zero Day Quest」を発表した。この種のイベントでは最大規模とされるZero Day Questは、トップクラスの研究者を招待し、影響の大きいセキュリティ上の不具合を発見して報告してもらう。同社は、誰でも参加可能な研究課題も発表した。 この研究課題の開催期間は、2024年11月19日~2025年1月19日。MicrosoftのAI報奨金プログラムの一部である同課題は、Microsoft AI、Microsoft Azure、Microsoft Identity、Microsoft 365、そしてMicrosoft Dynamics 365とMicrosoft Power Platformのバグ探しを奨励している。 初めて参加する人は、事前にMSRC研究者リソースセンターをチェックし、Microsoftにセキュリティの脆弱性を報告する方法を確認する必要がある。 Zero Day Questは、2025年に米ワシントン州レドモンドのMicrosoftキャンパスで開催される予定。2024年の年次Azure、Dynamics、Officeの各リーダーボードでトップ10に入ったMicrosoftの研究者は、同イベントへの参加資格がある。さらに、研究課題の提出物の質に基づいて、45人の研究者が追加で招待される。 招待された研究者には、エコノミークラスの往復航空券、5泊分ホテル宿泊費、空港とホテル間の交通費のほか、高額のバグ報奨金を持ち帰るチャンスが与えられる。Microsoftは、400万ドルの賞金を用意しており、以下の領域で不具合を発見した研究者に報酬を授与する。 重大度が「クリティカル」「重要」なリモートコード実行と特権昇格 Azure、Dynamics 365、Power Platform、Microsoft 365の報奨金プログラムにおける影響度の高いシナリオ 高額なバグ報奨金に加え、Microsoftは条件を満たす研究者に対し、エンジニアやセキュリティ専門家と協力する機会も提供する。 Microsoftでセキュリティレスポンスセンターのエンジニアリング担当バイスプレジデントを務めるTom Gallagher氏は「AIセキュリティの強化のため、本日から2倍のAI報奨金を提供する」とブログ投稿で述べる。 「研究者には、安全なAIソリューションの開発に注力するMicrosoftのAIエンジニアと専門組織『AI Red Team』と直接やりとりする機会を提供する。参加者は、最先端のツールとテクニックでスキルを高め、当社と協力してエコシステム全体におけるAI セキュリティの水準を高められる」(Gallagher氏) 資格の取得方法 資格を得るには何が必要なのか。報奨金プログラムの目的は、Microsoftユーザーに直接影響を与える重要なセキュリティ上の不具合を見つけることである。そのため、Microsoftに報告されていない、知られていない脆弱性を特定する必要がある。脆弱性は、重大度が「クリティカル」または「重要」と見なされ、再現可能でなくてはならない。 研究者は最後に、Microsoftのエンジニアに対し、バグを再現して修正する方法を示す明確な手順を文書、または動画で提供する必要がある。 この記事は海外Ziff Davis発の記事を朝日インタラクティブが日本向けに編集したものです。
