米Microsoftは9月23日、同社のオンラインサービスのバグ発見に対し報酬を支払う「Microsoft Online Services Bug Bounty Program」を発表した。これは既存のバグ発見報酬プログラムをオンラインサービスにも拡大するもので、まずは「Office 365」を対象にプログラムを進める。
同プログラムは、オンラインサービスのセキュリティ改善を目的としたプログラムで、セキュリティ欠陥や脆弱性の発見と報告に対し最低で500ドルを支払う。金額は深刻度などに応じて加算される可能性がある。
同社は2013年6月に「Mitigation Bypass Bounty」「BlueHat Bonus for Defence」などのバグ報酬プログラムをスタートしており、今回オンラインサービスに拡大されることになる。
対象となる脆弱性の種類は、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)、不正なクロステナント型データアクセスや改ざん、サーバーサイドのコード実行、特権昇格など9種類。
対象ドメインは、portal.office.com、outlook.com、outlook.office365.com、login.microsoftonline.com、.sharepoint.com、.lync.com、.officeapps.live.com、www.yammer.com、api.yammer.com、adminwebservice.microsoftonline.com、provisioningapi.microsoftonline.com、graph.windows.netの12種類となっている。
なお、同社は報酬支払いの対象から外れる脆弱性の条件、バグを発見する際に用いてはならない手法などについても明らかにしている。
