Microsoftはこのほど、「Speculative Execution Bounty Launch - MSRC」において、期間限定で新たなバグ懸賞金プログラムを開始すると発表した。期限は2018年12月31日まで、プロセッサの脆弱性「Spectre」に関するバグに対して懸賞金が支払われるとされている。
報奨金の金額は、脆弱性の内容によって異なり、最高額は25万ドルとなっている。今回のバグ懸賞金プログラムおよび条件などに関する詳細は次のページにまとまっている。
- Speculative Execution Side Channel Bounty Program
- Microsoft Bug Bounty Programs Terms and Conditions
-
資料: Microsoft Corporation
プロセッサの脆弱性「Spectre」はオペレーティングシステム側で完全に対処することが難しいと言われている。かといって、プロセッサ側で完全に対処することも難しいのではないかと見られており、どのような対策を取っていくのかはまだ模索段階にある。
現状では、Spectreを悪用した攻撃パターンを見つけ出し、それぞれの攻撃に対して回避処理を入れていくといった対策が考えられる。Microsoftが期間限定でSpectreに関するバグ懸賞金プログラムを発表し、懸賞金の最高金額が25万米ドルと破格の高値になっている背景には、攻撃パターンの発見を加速させ対処を急ぐ狙いがあるものと見られる。
