Skip to main content

Windows Insider Preview の Microsoft Edge Web プラットフォーム、バグ報奨金プログラムの条件

プログラムの説明

Windows 10 Insider Preview (WIP) で Microsoft Edge のセキュリティ脆弱性報奨金プログラムを始動します。このプログラムは 2016 年 8 月 4 日に開始し、2017 年 5 月 15 日に終了します。プログラムの期間中、世界中の個人ユーザーに、最新の Windows 10 Insider Preview 低速リングの Microsoft Edge で見つかった脆弱性を提出する機会が与えられます。Windows 10 Insider Preview の更新プログラムは別のリングでテスターに配信されます。報奨金プログラムについては、Windows Insider Preview 低速リングでバグを提出するようにお願いしています。詳細については、 https://insider.windows.com/ https://insider.windows.com/Home/GetStarted をご覧ください。

要件を満たしたユーザーによる提出には、$500 ~ $15,000 米国ドル以上の報奨金を受け取る資格が与えられます。報奨金は、脆弱性の質と複雑性に基づき、Microsoft の自由裁量により支払われます。質と複雑性によっては、Microsoft は $15,000 米国ドル以上の金額を支払う場合があります。

支払いの対象となる提出内容の構成

Microsoft に提出される脆弱性が次の条件を満たしている場合、報奨金が支払われます。

  • WIP 低速の現在の Microsoft Edge に関して、以前に報告されたことのない、まったく新しい脆弱性を見つけること。
  • 最新の WIP 低速ビルドで脆弱性を再現できること。
    • 前の WIP 低速ビルドで再現されていても、提言時に最新の WIP 低速ビルドで再現されていなければ、提言は対象から外れます。
  • 明瞭でわかりやすい再現手順を含めること。(それにより、提出が可能な限り迅速に処理され、報告された脆弱性の種類に対する最も高い報奨金が与えられます。)
  • 脆弱性が再現される WIP 低速ビルドの番号を含めること。

Microsoft は、その自由裁量により、これらの条件を満たしていないと判断した提出を拒否する場合があります。

支払い金額の設定方法

  • 異なる提出者から同じ問題に対する複数のバグ報告を受け取った場合、前述の基準に基づいて最初の提出に与えられます
  • Microsoft がこれまで認識していなかった新しい情報が複数のレポートで提供された場合は、重複する提出に個別に支払います
  • 内部的に既知の問題に対して受け取った最初の外部レポートには、最高で $1,500 米国ドルを支払います

認定された提出に対する支払いの範囲は、次の条件に基づきます。

脆弱性の種類機能する悪用コード
概念実証
レポートの品質支払範囲 (米国ドル)*
最新 WIP 低速ビルドの Microsoft Edge のリモート コード実行



必須必須最高 $15,000
いいえ必須最高 $6,000
いいえ必須最高 $1,500
重要なユーザー データのプライバシーや完全性を侵害する W3C 標準の違反。




いいえ必須最高 $6,000
 必須  

以下は、必要な操作の例です。

  • SoP の違反、
    すなわち UXSS
  • 参照元のなりすまし
いいえ 最高 $1,500

次は含まれません。

  • XSS、CSRF: Web サイト オーナーに報告してください

  • XSS フィルター バイパス
    

* 申請の質と複雑さに基づき、Microsoft 単独の裁量により、さらに高額が支払われる可能性があります

対象となる申請の定義:

  • 機能する悪用コード
    • リモート コード実行が可能であることを具体的に実証する概念実証の展開。たとえば、攻撃者が選択したプログラム (calc.exe など) を実行するように Microsoft Edge Technical Preview に強制します。
  • Windows 10 Insider Preview 低速リングで有効になっているあらゆる関連対策を悪用コードが迂回することが求められます。
  • 概念実証
    • 脆弱性を確実に再現するためのファイルと手順。
  • リモート コード実行
    • Microsoft Edge WIP 低速で発見された、デバイスの地理的位置に関係なく、攻撃者が他人のコンピューター機器にアクセスし、改ざんするという脆弱性。

支払いの対象とならない提出内容の構成

バグ報奨金プログラムの目的は、ユーザーとユーザーのデータのセキュリティに直接的かつ実証可能な影響を与える重大な脆弱性を明らかにすることです。Microsoft のブラウザーのセキュリティの脆弱性について説明されているあらゆる提出を歓迎しますが、このプログラムでは報奨が支払われない脆弱性の例を次に示します。

  • 現行の WIP 低速ビルドより以前の脆弱性
  • あらゆるバージョンの Internet Explorer の脆弱性
  • ユーザー生成コンテンツにおける脆弱性
  • 広範な、またはほとんど可能性のないユーザー操作を必要とする脆弱性
  • メモリ ガベージ コレクター (MemGC) をオフにした場合の脆弱性
  • 既存のブラウザーのセキュリティ機能を無効にしたときに見つかる脆弱性
  • about:flags に記載されているような実験的機能の脆弱性

Microsoft は、他の点では報奨の対象になる場合であっても、Microsoft 単独の裁量によってこれらの脆弱性カテゴリのいずれかに該当すると判断された提出を拒否する権利を保有します。

提出方法

こちらバグ提出ガイドラインに従って、Microsoft (secure@microsoft.com) にすべての内容を送信してください。脆弱性を報告する際には、 協調的な脆弱性の公開 従うことをお願いしています。Microsoft は何らかの理由でお受けできなかった提出について責任は持ちません。判読できない、あるいは不完全な提出の解明には妥当な範囲で尽力いたします。

条件を満たしている提出ではあるが、 協調的な脆弱性の公開に従っていない場合、たとえば、この報奨金プログラムで提出するのと同時に、またはそれ以前に公開した場合、その提出はこの報奨金プログラムで無効と見なされます。今後のマイクロソフト報奨金プログラムでも報奨金が受け取れなくなる可能性もあります。

投稿するにあたり要求される守秘義務

この報奨金プログラムで脆弱性を報告する場合、他のエンティティに対象の脆弱性の脆弱性実証コード (コードのバイナリを含む) を開示しないことを同意することになります。ただし、Microsoft がそのコードを公開した場合や、法律で開示を求められた場合を除きます。その脆弱性について話し合ったり、悪用コードの効果を見せたりできなくなることはありません。パブリック フォーラムで開示したり、メディアに公開したりする前に、 secure@microsoft.com にご連絡ください。

脆弱性を報告しました。次は何をすればよいですか。

  • 報告が受信されたことを示すメール メッセージがお手元に届きます。
  • Microsoft のエンジニアが提出内容をレビューし、適性を確認します。レビューにかかる時間は、受け取った提出の数に加え、提出内容の複雑さや完全性によって異なります。
  • 報告内容が確認されたら、報奨金のお受け取りに必要な書類についてご説明しますので、
  • 税務書類をそろえてください。Microsoft は必要書類を受け取り、当該プログラムに基づいて支払いを受ける資格があることを確認した上で、報奨金の対象者と見なし、支払いの手続きを行います。

報奨金の支払い:

Microsoft の自由裁量により、脆弱性の質と複雑性に基づいて報奨金が支払われます。対象となる提出の決定は、Microsoft 独自の裁量で行います。対象となる提出の決定は、Microsoft 独自の裁量で行います。提出に支払われる報奨金は、$500 ~ $15,000 米国ドルです (Microsoft の判断で増えることがあります)。1 人当たりの提出数や受け取れる報奨金の額に制限はありません。

提出者が脆弱性の提出に対する報奨の受け取りを辞退される場合は、提出者と協議の上、承認済みの慈善事業に報奨金を寄付します。

報奨金が与えられた個人は全員、 栄誉名簿ページに記載されます。

参加資格がある人

次に当てはまる方には、このプログラムの参加資格があります。

  • 14 歳以上の方。14 歳以上であっても、居住地で未成年と見なされる場合は、このプログラムに参加する前に親の許可または法的保護者の許可を得る必要があります。
  • 個人参加、または所属組織に参加を認められた方。このプログラムへの参加に関して雇用者が設けている規則を確認するのは参加者の責任となります。
  • “参加資格がない人” に記載されている項目に該当しない方。

参加資格がない人

  • キューバ、イラン、北朝鮮、スーダン、シリア、クリミア半島など、米国の制裁措置の下にある国の住民。
  • 現在、Microsoft Corporation または Microsoft の子会社の従業員、または近親者 (親、兄弟、配偶者、子など) またはこのような従業員の家族。
  • 提出前の 6 か月以内に Microsoft Corporation または Microsoft の子会社の従業員だった方。
  • 提出前の 6 か月以内に、Microsoft Corporation または Microsoft の子会社にサービスを提供していた方 (代理店の派遣社員、ベンダーの社員、取引客、請負業者など、Microsoft Corporate Network へのアクセスを必要とする外部スタッフ)。
  • 現在、Microsoft Corporation または Microsoft の子会社にサービスを提供している方 (代理店の派遣社員、ベンダーの社員、取引客、請負業者など、Microsoft Corporate Network へのアクセスを必要とする外部スタッフ)。
  • このプログラムの管理または実行業務の一部にかかわっている方。

Microsoft による決定は最終的なものであり、拘束力を持ちます。Microsoft は何らかの理由で随時このプログラムをキャンセルする場合があります。提出する前に、必ず、以下の利用規約をすべてお読みください。このプログラムに対して提出した時点で、これらの利用規約に同意したものとします。これらの利用規約に同意いただけない場合は、何も提出しないでください。また、このプログラムに参加しないでください。

報奨金プログラムについてよく寄せられる質問とプログラムの要件

提出者は、 Microsoft 報奨金プログラムのよく寄せられる質問に記載されている包括的条件を遵守する責任があります。 以下に関する詳細については、「 Microsoft バグ報奨金プログラムについてよく寄せられる質問」を参照してください。

  1. Microsoft にバグを報告する
  2. Microsoft の優先順位付けおよび支払プロセス
  3. 参加資格の条件
  4. 報奨金支払いポリシー
  5. 守秘義務
  6. Microsoft のプライバシーに関する声明と法的な注意事項
  7. Microsoft の各種報奨金プログラムに関するその他の質問
  8. 協調的な脆弱性の公開

プライバシーに関する声明

このプログラムの プライバシーに関する声明を参照してください。

法的な注意事項:

Microsoft の法的ガイドラインに関する追加情報については、 よく寄せられる質問のページにアクセスし、スクロールして '法的な注意事項' をご覧ください。

Microsoft バグ報奨金プログラムに参加していただき、ありがとうございます!

マイクロソフト報奨金プログラム ナビゲーション バー

Overview of all Microsoft Bounty Programs (全マイクロソフト報奨金プログラムの概要)

FAQ

Online Service (Office 365 and Azure) (オンラインサービス - Office 365 および Azure)

Mitigation Bypass and Bounty for Defense (軽減策バイパスおよび防御策に対する報奨金)

.NET Core and ASP.NET Core (.NET Core および ASP.NET Core)

Windows Insider Preview の Microsoft Edge Web プラットフォーム

.NET Core and ASP.NET Core RC2 (.NET Core および ASP.NET Core RC2)

Nano Server Beta Bounty

Edge Beta Bounty 2015 (Edge ベータ版報奨金 2015)

CoreCLR and ASP.NET 5 Beta Bounty (CoreCLR および ASP.NET 5 ベータ版報奨金)

関連コンテンツ

How to report online services security vulnerabilities (オンライン サービス セキュリティの脆弱性を報告する方法)

About MSRC (Microsoft Security Response Center について)

MSRC ブログ

SRD ブログ

確認ページ

Online Services Acknowledgments (オンライン サービス確認)

Bounty Hunters: (報奨金対象者: ) The Honor Roll (栄誉名簿)

Security Conference Speaker Recognition (セキュリティ会議の話者識別)