あなたの知らないバグバウンティの世界

Transcript

1. あなたの知らない バグバウンティの世界 Yurika Kakiuchi Risk Manager Security Response Team |

   Regional Security Customer Protection Microsoft Corporation 公式ブログ: https://aka.ms/JPSECURITY 公式ツイッター: @JSECTEAM セキュリティレスポンスチーム窓口 [email protected]

2. マイクロソフト セキュリティ レスポンス センター 2 ミッション：お客様が Microsoft の製品やサービスのセキュリティ脆弱性から被害を受けることを防ぎ、 Microsoft Cloud

   に対する攻撃を迅速に対応する • リリース製品の脆弱性対応 (脆弱性収集、修正、更新プログラムのリリース） • 脆弱性に関するリサーチ • セキュリティ・リサーチコミュニティとの連携

3. よりよいセキュリティレスポンスを目指して 3 信頼できるコンピューティング設立 セキュリティ開発ライフサイクル (SDL) 提唱 マルウェア保護センターを設立 Microsoft Security Response

   Center 設立 デジタル犯罪 対策センター設立 Operations Security Assurance 開始 セキュリティ情報提供開始 • 脆弱性にセキュリティ情報(MSxx-xxx) を採番 • セキュリティ更新や回避策を公開 1998 2004 2007 2014 2017 1995 1999 2005 2018 2003 月例でのセキュリティリリース 開始 • 毎月第 2 火曜日午前 10 時 (米国時間) • 複数の脆弱性の修正をパッケージ化し、必要なインストール回数・再起動回数を減 少 • 詳細なガイダンスの提供 月例セキュリティリリースの事前通知開始 ・3 営業日前に月例更新プログラムを事前予告 CVE 採番機関となり、 最初のCVEを採番 セキュリティ更新ガイド 開設 ・セキュリティ情報(MSxx-xxx) 番号を廃止 ・CVE、更新プログラムを公開データベース化 2010 Microsoft Active Protection Program (MAPP) 開始 日本語の脆弱性報告窓口設立 2013 脆弱性報奨金プログラム（バグバウンティ）開始

4. 数字で見る Microsoft バグバウンティ 17 報奨金対象 製品・サービス 20 億円 合計報奨金支払総額 345

   名 受賞者 2,900万円 1件あたりの最高金額 (統計期間: 2022 年 7 月 1 日 ～ 2023 年 6 月 30 日) 1180 有効なレポート数

5. 脆弱性に対するアプローチ 脆弱性の発見と悪用をより困難にするために 悪用される 脆弱性の数を減らす 悪用による 影響を下げる 悪用期間を 最小にする ✓ セキュリティ開発ライフサイクル(SDL)

   ✓ 既存の脆弱性の分析と研究 ✓ 共同リサーチ ✓ バグバウンティ ✓ 攻撃面の縮小 ✓ セキュリティパートナーシップによる脆 弱性悪用状況の把握と顧客保護 ✓ 修正プログラムのリリース迅速化 ✓ 自動更新機能の改善 ✓ 修正プログラムの適用促進 ✓ 企業組織への個別説明会実施 ✓ メディア・第三者機関と連携した注 意喚起 詳細は: 脆弱性の悪用からユーザーを守るために、ベンダーが取り組むべきこと - Speaker Deck

6. バグバウンティの実施において懸念されること 脆弱性が 公開される サービスが 過剰になる 法的リスク 費用対効果 組織・ツール の変更

7. Microsoft バグバウンティの拡大 2013 ベータ版での バグバウンティを開始 2017 プログラム対象の 拡大 2019 プログラムを刷新

   現在 インセンティブとパートナー シップの強化 • セキュリティパートナーの参加 • 地域パートナーとのエンゲージ • 研究パートナーシップ • ガイドラインの継続的な調整 • 賞金額の引き上げ • 明確なガイドラインの設置 • 報奨授与までの期間短縮 • シナリオベースの報告導入 • 社内リサーチへのフィードバック強化 • Windows Insider, Office, Edge などに拡大 • ISO 規格の共同執筆・編集 • IE 11 Preview

8. なぜ、セキュリティ研究者は、 Microsoft に脆弱性を報告するのか？

9. 価値の高い脆弱性報告を促進するために • Microsoft Researcher Recognition Program • Example of High

   Quality Reports セキュリティ コミュニティを盛り上げる 透明性のあるガイド・プロセスへの継続的改善 研究に対して報奨する • Microsoft Bluehat • Windows Security Servicing Criteria • Microsoft Vulnerability Severity Classification for AI Systems • Microsoft Vulnerability Severity Classification for Online Services • Directory of Azure Services

10. 脆弱性はどこでみつかる？ セキュリティ リサーチ セキュリティ検出 トラブルシューティング

11. Let the hunt begin!

12. バグバウンティ・ 脆弱性報告の リソース • Microsoft Bounty Programs | MSRC •

    BlueHat | Microsoft • マイクロソフト脆弱性報告窓口 ガイド (日本 語) | MSRC Blog | Microsoft Security Response Center

13. 脆弱性の 報告方法 MSRC Researcher Portal https://www.microsoft.com/msrc

14. MSRC Researcher Portal https://www.microsoft.com/msrc 脆弱性の 報告方法

15. 日本語でも 対応しています 報告フォーム内の「Details of Reproduce」に日本語での対応を希 望する旨を記述してください。 “Japanese language communication request:

    please loop [email protected]” マイクロソフト脆弱性報告窓口 ガイド (日本語) | MSRC Blog | Microsoft Security Response Center

16. 情報セキュリティ早期警戒 パートナーシップ ガイドライン* 脆弱性関連情報の届出 • 届け出された脆弱性はすべてマイクロソフ トの脆弱性報告窓口に報告されます。 • マイクロソフトに直接報告した場合は、必 ずしも

    IPA に報告する必要はありません。 • マイクロソフトが迅速に対応を開始するた めに、できる限り直接報告をお願いいたし ます *IPA https://www.ipa.go.jp/security/ciadr/partnership_guide.html