Skip to main content

Windows 用の Microsoft Office Insider ビルドに関する報奨金プログラムの利用規約

プログラムの説明
Windows デスクトップ用の Microsoft Office Insider のセキュリティ脆弱性に関する報奨金プログラムを開始します。 プログラムの実施期間は 2017 年 3 月 15 日から 2017 年 6 月 15 日 (米国時間) です。この期間中は、世界中の誰でも最新バージョンの Windows に同梱されている Microsoft Office Insider スロー ビルドで発見したセキュリティの脆弱性について報告し、報奨金を受け取ることができます。Office Insider Preview の更新プログラムは、異なるリングでお客様に提供されます。この報奨金プログラムでは、Office Insider Preview スロー リング上のバグを提出するようお願いしています。詳細については、 https://products.office.com/ja-jp/office-insider および https://products.office.com/ja-jp/try を確認してください。

要件を満たした報告に対しては、脆弱性の品質と複雑性に基づいてマイクロソフトの裁量により500 米国ドルから15,000 米国ドルが支払われます。報告の内容によっては、15,000 米国ドル以上の報奨金が支払われる可能性もあります。

報奨金の支払い対象となる報告内容の構成

マイクロソフトに提出される脆弱性が報奨金の支払い対象となるためには、次の要件を満たす必要があります。

  • 更新プログラムが完全に適用された Windows 10 デスクトップ上の 最新の Office Insider ビルドで、初めて発見され、過去に報告されていない脆弱性を特定する
  • 報奨金支払いの資格を得るためには、脆弱性が最新の Office Insider スロー ビルドで再現できなければならない
    • 以前の Office Insider スロー ビルドで再現できても、提出時点で最新の Office Insider スロー ビルドで再現できなければ報奨金支払いの対象とはならない
  • 簡潔で分かりやすい再現手順が含まれている (これによって申請が速やかに処理され、報告された脆弱性の種類に対する最も高い報奨金の支払いを後押しします。)
  • 脆弱性が再現可能な Office バージョン番号およびスロー ビルド番号が含まれている
    • 番号は [ファイル] - [アカウント] の [製品情報] で確認することができます (バージョンおよびビルド番号)

マイクロソフトは独自の裁量により、上記の要件を満たさないと判断した場合、またその他の理由によって報告を拒否することができます。

報奨金の支払い金額の設定方法

  • 異なる外部の団体から同じ問題に対する有効なバグ報告を複数受けた場合、上記の要件に基づき支払い対象となった最初の報告者に対して報奨金を支払う。
  • 重複した報告の中に脆弱性調査に対して価値を付加するような新しい情報が含まれている場合、重複した報告との差分に報奨金を支払う場合がある。
  • 現在開発中でマイクロソフトの内部的には既知の問題を最初に報告した外部の報告者に対して、最高で 1,500 米国ドルを支払う。

有効な報告に対する報奨金の支払い額の範囲は、以下を基準とします。

脆弱性の種類機能する悪用コード概念実証レポートの品質支払い額の範囲 (米国ドル)*
Office の保護ビューのサンドボックス エスケープを介した特権の昇格 (Office とは無関係なコンポーネントおよびライブラリの脆弱性、または AppContainer サンドボックスなどそれを使用するどのアプリケーションにも当てはまるような脆弱性は除く)なし必須高品質最高 $15,000
なし必須低品質最高 $9,000
Word、Excel、および PowerPoint で、Office のマクロをブロックするセキュリティ ポリシーをバイパスしたマクロの実行なし必須高品質最高 $15,000
なし必須低品質最高 $9,000
Outlook の添付ファイルを自動的にブロックするポリシーをバイパスしたコードの実行。以下にリストされている拡張子はポリシーに定義済みで、Outlook が既定でブロックするものです。なし必須高品質最高 $9,000
なし必須低品質最高 $6,000

* 報告内容の品質と複雑性に基づき、マイクロソフトの独自の裁量によりさらに高い報奨金が支払われる可能性があります。

報奨金の支払い対象となる報告の定義:

Office の保護ビューのサンドボックス エスケープを介した特権の昇格
ユーザーの安全を守るために、Office では信頼できないドキュメントを開く際に 保護ビューを使用します。マイクロソフトでは、サンドボックスをエスケープするための Office ベースのテクニックやその他の特権昇格に関する情報を求めています。

マクロの実行をブロックする既定のセキュリティ ポリシーのバイパス
マクロのセキュリティ ポリシーは、ユーザーが操作することなく既定でマクロの実行をブロックします。この報奨金プログラムでは、Microsoft Word、Excel および PowerPoint でユーザーが既定の設定を操作することなく、またドキュメントを信頼することなく自動的なマクロの実行を認めるような脆弱性に関する情報の報告を期待しています。

Outlook がブロックする添付ファイル リストのバイパス
現在 Outlook では、複数のファイル拡張子が添付ファイルとしてブロックされています。マイクロソフトでは、以下に記載された拡張子の一覧に対する既存のブロック ポリシーをバイパスできるようなテクニックを求めています。

ブロックされている拡張子の最新の一覧は、以下のとおりです。

ade;adp;app;asp;bas;bat;cer;chm;cmd;cnt;com;cpl;crt;csh;der;diagcab;exe;
fxp;gadget;grp;hlp;hpj;hta;inf;ins;isp;its;jar;jnlp;js;jse;ksh;lnk;mad;maf;mag;
mam;maq;mar;mas;mat;mau;mav;maw;mcf;mda;mdb;mde;mdt;mdw;mdz;
msc;msh;msh1;msh2;msh1xml;msh2xml;mshxml;msi;msp;mst;ops;osd;
pcd;pif;pl;plg;prf;prg;ps1;ps2;ps1xml;ps2xml;psc1;psc2;pst;reg;scf;scr;sct;
shb;shs;tmp;url;vb;vbe;vbp;vbs;vsmacros;vsw;ws;wsc;wsf;wsh;xbap;xll;xnk

Outlook でブロックされる添付ファイルの詳細については、 こちらを参照してください。

注意: ここでは、現在添付ファイルとしてブロックされていないファイル拡張子がリモートでのコード実行を引き起こすケースは対象としません。例えば、サード パーティ製のソフトウェアによってインストールされる実行可能なファイルはブロックしません。

報奨金の支払い対象とならない報告内容の構成

報奨金プログラムの目的は、マイクロソフトのユーザーとユーザーのデータのセキュリティに直接的で明確な影響を及ぼす重大な脆弱性を明らかにすることです。マイクロソフトのブラウザーに存在するセキュリティの脆弱性に関するあらゆる報告を歓迎しますが、以下のような脆弱性は本プログラムにおいては報奨金の支払い対象となりません。

  • 最新の Windows デスクトップ用の Office Insider スロー ビルドより前のバージョンに存在する脆弱性
  • ユーザーの生成したコンテンツに存在する脆弱性
  • 多くの、またはありそうもないユーザーの操作を必要とする脆弱性
  • 既存のセキュリティ機能を無効にした状態で発見される脆弱性
  • Office とは無関係なコンポーネントの脆弱性
  • システムにインストールされており、脆弱性の悪用を可能にするサード パーティ製コンポーネントに存在する脆弱性
  • 報告されたシナリオにおいて、保護ビューが明確にOffice のコードでアクティブ化されていない、または既定で有効化されていない場合の、保護ビューをエスケープする脆弱性
  • アプリケーション コンテナーに存在する脆弱性
  • その他マイクロソフトの独自の裁量により、対象外と判断された脆弱性のカテゴリ

マイクロソフトは独自の裁量により、報奨金支払いの対象となる報告であっても、これらの脆弱性のカテゴリに当てはまると判断した場合、その報告を拒否する権利を留保します。

報奨金プログラムについてよく寄せられる質問とプログラム要件

報告者は、「 マイクロソフトのバグ報奨金プログラムについてよく寄せられる質問」に記載されている包括的な条件を遵守する責任があります。 以下に関する詳細については、「 マイクロソフトのバグ報奨金プログラムについてよく寄せられる質問」を参照してください。

  1. マイクロソフトにバグを報告する
  2. マイクロソフトの優先順位付けおよび支払いプロセス
  3. 参加資格の条件
  4. 報奨金支払いに関するポリシー
  5. 守秘義務
  6. マイクロソフトのプライバシーに関する声明と法的な注意事項
  7. マイクロソフトの各種報奨金プログラムに関するその他の質問
  8. 協調的な脆弱性の公開

マイクロソフトの報奨金プログラムにご参加いただき、ありがとうございます!

MSRC Blog

Windows 用の Microsoft Office Insider ビルドに関する報奨金プログラムの利用規約

This feed, No Title, currently has no items to display.

SRD Blog

Windows 用の Microsoft Office Insider ビルドに関する報奨金プログラムの利用規約

This feed, No Title, currently has no items to display.