あなたの知らない バグバウンティの世界 Yurika Kakiuchi Risk Manager Security Response Team | Regional Security Customer Protection Microsoft Corporation 公式ブログ: https://aka.ms/JPSECURITY 公式ツイッター: @JSECTEAM セキュリティレスポンスチーム窓口 [email protected]

マイクロソフト セキュリティ レスポンス センター 2 ミッション：お客様が Microsoft の製品やサービスのセキュリティ脆弱性から被害を受けることを防ぎ、 Microsoft Cloud に対する攻撃を迅速に対応する • リリース製品の脆弱性対応 (脆弱性収集、修正、更新プログラムのリリース） • 脆弱性に関するリサーチ • セキュリティ・リサーチコミュニティとの連携

よりよいセキュリティレスポンスを目指して 3 信頼できるコンピューティング設立 セキュリティ開発ライフサイクル (SDL) 提唱 マルウェア保護センターを設立 Microsoft Security Response Center 設立 デジタル犯罪 対策センター設立 Operations Security Assurance 開始 セキュリティ情報提供開始 • 脆弱性にセキュリティ情報(MSxx-xxx) を採番 • セキュリティ更新や回避策を公開 1998 2004 2007 2014 2017 1995 1999 2005 2018 2003 月例でのセキュリティリリース 開始 • 毎月第 2 火曜日午前 10 時 (米国時間) • 複数の脆弱性の修正をパッケージ化し、必要なインストール回数・再起動回数を減 少 • 詳細なガイダンスの提供 月例セキュリティリリースの事前通知開始 ・3 営業日前に月例更新プログラムを事前予告 CVE 採番機関となり、 最初のCVEを採番 セキュリティ更新ガイド 開設 ・セキュリティ情報(MSxx-xxx) 番号を廃止 ・CVE、更新プログラムを公開データベース化 2010 Microsoft Active Protection Program (MAPP) 開始 日本語の脆弱性報告窓口設立 2013 脆弱性報奨金プログラム（バグバウンティ）開始

数字で見る Microsoft バグバウンティ 17 報奨金対象 製品・サービス 20 億円 合計報奨金支払総額 345 名 受賞者 2,900万円 1件あたりの最高金額 (統計期間: 2022 年 7 月 1 日 ～ 2023 年 6 月 30 日) 1180 有効なレポート数

脆弱性に対するアプローチ 脆弱性の発見と悪用をより困難にするために 悪用される 脆弱性の数を減らす 悪用による 影響を下げる 悪用期間を 最小にする ✓ セキュリティ開発ライフサイクル(SDL) ✓ 既存の脆弱性の分析と研究 ✓ 共同リサーチ ✓ バグバウンティ ✓ 攻撃面の縮小 ✓ セキュリティパートナーシップによる脆 弱性悪用状況の把握と顧客保護 ✓ 修正プログラムのリリース迅速化 ✓ 自動更新機能の改善 ✓ 修正プログラムの適用促進 ✓ 企業組織への個別説明会実施 ✓ メディア・第三者機関と連携した注 意喚起 詳細は: 脆弱性の悪用からユーザーを守るために、ベンダーが取り組むべきこと - Speaker Deck

バグバウンティの実施において懸念されること 脆弱性が 公開される サービスが 過剰になる 法的リスク 費用対効果 組織・ツール の変更

Microsoft バグバウンティの拡大 2013 ベータ版での バグバウンティを開始 2017 プログラム対象の 拡大 2019 プログラムを刷新 現在 インセンティブとパートナー シップの強化 • セキュリティパートナーの参加 • 地域パートナーとのエンゲージ • 研究パートナーシップ • ガイドラインの継続的な調整 • 賞金額の引き上げ • 明確なガイドラインの設置 • 報奨授与までの期間短縮 • シナリオベースの報告導入 • 社内リサーチへのフィードバック強化 • Windows Insider, Office, Edge などに拡大 • ISO 規格の共同執筆・編集 • IE 11 Preview

なぜ、セキュリティ研究者は、 Microsoft に脆弱性を報告するのか？

価値の高い脆弱性報告を促進するために • Microsoft Researcher Recognition Program • Example of High Quality Reports セキュリティ コミュニティを盛り上げる 透明性のあるガイド・プロセスへの継続的改善 研究に対して報奨する • Microsoft Bluehat • Windows Security Servicing Criteria • Microsoft Vulnerability Severity Classification for AI Systems • Microsoft Vulnerability Severity Classification for Online Services • Directory of Azure Services

脆弱性はどこでみつかる？ セキュリティ リサーチ セキュリティ検出 トラブルシューティング

Let the hunt begin!

バグバウンティ・ 脆弱性報告の リソース • Microsoft Bounty Programs | MSRC • BlueHat | Microsoft • マイクロソフト脆弱性報告窓口 ガイド (日本 語) | MSRC Blog | Microsoft Security Response Center

脆弱性の 報告方法 MSRC Researcher Portal https://www.microsoft.com/msrc

MSRC Researcher Portal https://www.microsoft.com/msrc 脆弱性の 報告方法

日本語でも 対応しています 報告フォーム内の「Details of Reproduce」に日本語での対応を希 望する旨を記述してください。 “Japanese language communication request: please loop [email protected]” マイクロソフト脆弱性報告窓口 ガイド (日本語) | MSRC Blog | Microsoft Security Response Center

情報セキュリティ早期警戒 パートナーシップ ガイドライン* 脆弱性関連情報の届出 • 届け出された脆弱性はすべてマイクロソフ トの脆弱性報告窓口に報告されます。 • マイクロソフトに直接報告した場合は、必 ずしも IPA に報告する必要はありません。 • マイクロソフトが迅速に対応を開始するた めに、できる限り直接報告をお願いいたし ます *IPA https://www.ipa.go.jp/security/ciadr/partnership_guide.html