マイクロソフトには15のバグバウンティプログラムがあり、ソフトウェアの欠陥を明らかにするために時間とエネルギーを費やし、地下市場を通じてサイバー犯罪者に売却したり、政府機関にこのソフトウェアを配布するブローカーを悪用するのではなく、それらの欠陥を関係するベンダーに直ちに報告するセキュリティ研究者に金銭的な報酬を与えています。
マイクロソフトのセキュリティレスポンスセンターは、すべての努力に感謝するだけでなく、これらのセキュリティ研究者を非常に尊敬しており、そのような高い評価を得ているため、マイクロソフトはバグバウンティ特典プログラムでそれらを返済することを躊躇しません。2019 年 7 月から 2020 年 6 月まで、マイクロソフトはこれらのバグ バウンティ プログラムに 1,370 万ドルを費やしてきました。この数字は昨年の440万ドルから3倍になった。
一方、Googleはソフトウェアのセキュリティ上の欠陥に対する賞に約650万ドルを費やしました。だから、マイクロソフトは明らかにGoogleよりもはるかに多くを費やしています。
マイクロソフトによると、2020年の最近の高い支払いは、6つの新しいバウンティプログラムと2つの新しい研究助成金の立ち上げによるものです。これらのインセンティブだけでも、約300人のセキュリティ研究者から1000以上の適格なレポートを集めました。
マイクロソフトはまた、GoogleプロジェクトZeroやGPZの最新のレポートによると、世界が重要なパンデミックと戦っていた数ヶ月間、11のゼロデイ脆弱性が野生で悪用され、マイクロソフトは3月だけで115の脆弱性にパッチを当てなければならなかったため、COVID-19パンデミックの中でセキュリティ研究を増やさなければならなかったと述べています。これらの脆弱性の発見はまれであり、セキュリティ研究者がソフトウェアを完璧にするために日々働いているためにのみ可能でした。したがって、これはセキュリティ上の目的でマイクロソフトの高い支払いを保証します。
さらに、マイクロソフトのソフトウェアは、Googleが2020年に野生で使用されていたことを発見した11のエクスプロイトのうち4つを構成していました。
他のいくつかのマイクロソフトの欠陥には、マイクロソフトが2月にパッチを適用しなければならなかったインターネットエクスプローラCVE-2020-0674のバグが含まれていました。これとは別に、マイクロソフトが2020年にリリースされるパッチの前に、さらに3つのWindowsメモリ破損バグが悪用されました。
マイクロソフトが期間中に開始したバウンティには、Microsoft Dynamics 365 バウンティ プログラム、Azure セキュリティ ラボ、クロム バウンティ プログラムのマイクロソフト エッジ、選挙ガード バウンティ プログラム、Xbox バウンティ プログラム、Azure Sphere セキュリティ リサーチ チャレンジなどがあります。
これらのバグバウンティを通じて Microsoft やその他の関連ベンダーに報告された欠陥は、攻撃者がシステムを悪用して侵害する可能性のあるゼロデイ攻撃を減らすのに役立ちます。ベンダーは、これらの欠陥が既知になり、脆弱性が明らかになれば、ユーザーにセキュリティパッチを提供します。