Microsoft Bug Bounty Program Expanded to Third-Party Code
2025/12/13 SecurityWeek — 12月12日 (木) に Microsoft が発表した “In Scope by Default” というアプローチは、バグバウンティ・プログラムを大幅に拡充し、サードパーティ製のコードとオープンソース・コードも対象にするものだ。対象となる深刻な脆弱性が、Microsoft のサービスに影響を与える場合に限り、その脆弱性を発見/報告した研究者はバグバウンティの対象となる。
Microsoft の VP である Tom Gallagher は、「深刻な脆弱性が当社のオンライン・サービスに直接的かつ明白な影響を与える場合には、バグバウンティの対象となる。対象となるコードが Microsoft のものでなく、サードパーティ/オープンソース・コミュニティに所有/管理されている場合にも、問題の解決で必要となる、あらゆる措置を講じる」と述べている。
この “In Scope by Default” アプローチは、ハッカーの攻撃対象領域に対する考え方に合致している。つまり、すべてのセキュリティ上の欠陥が重要であるという考え方にも合致していると Microsoft は説明する。
Tom Gallagher は、「AI/Cloud ファーストの世界では、脅威アクターの標的は特定の製品やサービスに限定されない。悪用を試みるコードの所有者を、脅威アクターが気にすることはない。つまり、脅威アクターにとって価値の高い脆弱性を検出するセキュリティ研究者は、Microsoft のバグバウンティ・プログラムを通じてレポートを提出できる」と指摘している。
さらに同氏は、「Microsoft のオンライン・サービスが、オープンソースを含むサードパーティ・コードの脆弱性の影響を受けている場合には、その情報を提供したいと考えている。この重要な取り組みに対する報奨金の制度が、これまで存在しなかったので新たに立ち上げる。それにより、セキュリティ研究のギャップが解消され、それらのコードを利用する人々のセキュリティの水準が向上する」と付け加えている。
Microsoft のバグバウンティ・プログラムは、すべてのオンライン・サービスをデフォルトで対象とし、この新たな取組は即時に有効化される。また、今後においてリリースされる新たなソフトウェアも、直ちに対象範囲に含まれていく。2023年に Microsoft が発表した Secure Future Initiative の一環として、このバグバウンティ・プログラムは拡張される。
現代のサイバー攻撃が、特定の企業や製品の境界を意識していないという現実が、この In Scope by Default という新しいアプローチが生まれた背景にあります。Microsoft のコードであろうが、サードパーティやオープンソースのコードであろうが、攻撃者たちは悪用できる脆弱性を探しています。つまり、セキュリティ上の欠陥が、どこにあっても等しく重要であるというハッカー側の考え方に則して、影響が深刻ならコードの所有者を問わず報奨金の対象にするという、Microsoft の新しい方針が打ち出されたわけです。それにより、セキュリティ研究のギャップが埋まり、安全が高まると期待されます。よろしければ、カテゴリー BugBounty を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.