バグを発見したら最高180万円もらえる新ブラウザ向け賞金プログラムをMicrosoftが実施中

By Paolo Porsia

2015年夏にリリース予定のMicrosoftの新OS「Windows 10」は、すでに開発者用プレビュー版が公開されています。開発者用プレビュー版には、先日正式名称が「Edge」になることが発表された新ブラウザ「Project Spartan(コードネーム)」が搭載されており、MicrosoftがProject Spartanのバグを発見した人に賞金を授与するバウンティハンタープログラムを実施しています。

Project Spartan Bug Bounty Program Terms
https://technet.microsoft.com/en-us/security/dn972323

Microsoftは、2014年10月に公開した開発者向プレビュー版に搭載されている次期ブラウザ「Project Spartan」のバグを発見した人に賞金を授与するバウンティハンタープログラムを2015年4月22日に開始しました。

By okubax

賞金の対象となるのは「リモートコード実行」「サンドボックス回避の脆弱性」「重要度の高い脆弱性」「ASLRの情報開示に関する脆弱性」の4種類。バグを報告するには概念実証を提示する必要があるものの、「リモートコード実行」「サンドボックス回避の脆弱性」に関しては、賞金の最高額が1万5000ドル(約180万円)で、最低でも1500ドル(約18万円)です。他にも、「重要度の高い脆弱性」は最高額が6000ドル(約72万円)、ASLRに関する脆弱性は一律500ドル(約6万円)となっています。

By 401(K) 2012

バウンティープログラムは、14歳以上であることが最低参加条件で、セキュリティ関連の企業に勤める人は、勤務先に同プログラム参加の許可を得る必要があります。キューバやイラン、北朝鮮、スーダン、シリアといったアメリカ政府から何らかの制裁を受けている国からの参加は認められていません。また、Microsoftの社員や、社員を家族に持つ人の参加は不可となっています。

Project Spartan改めEdgeは2015年夏のリリースが予定されていて、Windows 10の新ブラウザとして注目を集めており、世界中の多くのユーザーが使用するものと見られていて、セキュリティ対策はMicrosoftにとって最優先すべき事項になっているとのこと。

By Perspecsys Photos

ガイドラインで定義されるバグを発見したら、「[email protected]」宛にバグの詳細や、バグを引き起こす手順などを送ればOKです。なお、バグ報告の受付は2015年6月22日までとなっています。