Microsoft Defender Bounty Program: サインアップして、脆弱性を発見して最大 20,000 ドルの賞金を獲得する方法

バグや脆弱性の探索に情熱を持っている場合は、このプログラムが最適かもしれません。

Microsoft は、レドモンドに本拠を置くテクノロジー大手の企業に Microsoft Defender Bounty Program の導入を発表しました。 最新のセキュリティ ブログ投稿. 新しいプログラムでは、Microsoft 製品内の脆弱性を発見した対象者に報奨金が与えられます。

Microsoft が脅威アクターによって永続的に攻撃されていることはよく知られており、その製品はサイバー攻撃の対象となることがよくあります。

たとえば、今年初めの研究では、 2022 年に Microsoft 365 アカウントの 80% がハッキングされた、そのうち60％がハッキングに成功しました。 さらに懸念されるのは、 別の調査によると、Microsoft Teams は 最新のマルウェアに感染しやすいです。

これを念頭に置いて、Microsoft の新しい Defender Bounty Program の計画では、重大な脆弱性を発見した人に最大 20,000 ドルの報奨金を提供する予定です。

Microsoft Defender Bounty Program では、世界中の研究者を招待して、Defender 製品とサービスの脆弱性を特定し、それを当社のチームと共有します。 Defender プログラムは、Microsoft Defender for Endpoint API に焦点を当てた限られた範囲で開始され、時間の経過とともに Defender ブランドの他の製品を含むように拡大されます。

マイクロソフト

ただし、サインアップする前に、提出物がプログラムの対象となるかどうかを確認するなど、いくつかの点に注意する必要があります。 すべてを明らかにしていきますので、フォローしてください。

Microsoft Defender 報奨金プログラム: 対象となる提出物は何ですか?

プログラムに参加するためにサインアップして開始するには、アクティブな Microsoft Defender for Endpoint テナントである必要があります。レドモンドを拠点とするテクノロジー大手は、喜んで 3 か月の試用期間を提供します。 ここ.

それはさておき、プラットフォームの Microsoft の専用ページには、報酬を受ける対象となるすべての投稿のリストが含まれています。 報酬は、見つかった脆弱性の重大度に応じて異なります。

提出物が報酬の対象となるすべてのポイントは次のとおりです。

• Microsoft に以前に報告されていない、または Microsoft によって知られていない、対象範囲内のリストにある Defender 製品の脆弱性を特定します。
• このような脆弱性は、重大度が「緊急」または「重要」であり、パッチが完全に適用された最新バージョンの製品またはサービスで再現可能である必要があります。
• 明確、簡潔、かつ再現可能な手順を文書またはビデオ形式で含めます。
• 問題を迅速に再現、理解、修正するために必要な情報を当社のエンジニアに提供します。

Microsoft は研究者に次のような追加情報も求めます。

• MSRC 研究者ポータルから送信してください。
• 脆弱性の提出時に、レポートがどのような影響の大きいシナリオ (該当する場合) に該当するかを示します。
• 脆弱性の攻撃ベクトルを説明します。

報奨金の範囲は脆弱性の重大度に応じて 500 ドルから 20,000 ドルですが、詳細は以下でご覧いただけます。

脆弱性の種類	レポートの品質	重大度
致命的	重要	適度	低い
リモートコード実行	高い 中くらい 低い	$20,000 $15,000 $10,000	$15,000 $10,000 $5,000	$0	$0
特権の昇格	高い 中くらい 低い	$8,000 $4,000 $3,000	$5,000 $2,000 $1,000	$0	$0
情報開示	高い 中くらい 低い	$8,000 $4,000 $3,000	$5,000 $2,000 $1,000	$0	$0
スプーフィング	高い 中くらい 低い	該当なし	$3,000 $1,200 $500	$0	$0
改ざん	高い 中くらい 低い	該当なし	$3,000 $1,200 $500	$0	$0
サービス拒否	高低	範囲外

新しいプログラムに興味がある場合は、次のサイトで詳細を読むことができます。 その専用ページ、対象となる提出物の性質に関する技術的な詳細が含まれます。