パスワードを忘れた? アカウント作成
15628838 story
バグ

Microsoft、報奨金プログラムにシナリオベースの報奨金を追加 5

ストーリー by nagazou
報奨金 部門より
headless 曰く、

Microsoft は 14 日、Microsoft Dynamics 365 と Power Platform の報奨金プログラムおよび、M365 の報奨金プログラムにシナリオベースの報奨金を追加すると発表した (Microsoft Security Response Center の記事Softpedia の記事)。

シナリオベースの報奨金は影響が大きな特定のシナリオにおける脆弱性の発見に対し、報奨金を上乗せするものだ。Microsoft Dynamics 365 と Power Platformの報奨金 プログラムでは、テナント間情報漏洩のシナリオに最高 2 万ドルの報奨金が設定されており、M365 の報奨金プログラムではコードインジェクションによる信頼できない入力を通じたリモートからのコード実行シナリオにボーナス最高 30 % など、複数のシナリオで報奨金の 15 % ~ 30 % のボーナスが上乗せされる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年04月19日 8時15分 (#4235148)

    言葉だけ聞くと、なんか、劇場型詐欺みたいなのを思い浮かべてしまうんだが。

    • by Anonymous Coward

      細工されたエクセルファイルを開いたらとか細工されたWordファイルを開いたらとかそう言うのでは。
      //うぃんどうずさーばーをいんたーねっとにこうかいしたらこうげきたいしょうになるとかもはいる?

      • by Anonymous Coward

        一般的にはそうだけど、いや、すでに一般的だからこそ、今までもシナリオ(攻撃ベクトルとも言う)に基づいた評価は行っていたはずで、今回の発表で特別何が変わるのか分からんな。

        一般的に評価されないシナリオとしては、運用上のセキュリティ問題(OPSEC)とかかな。例えば、オペレータに電話を掛けて、本人確認の緩さを悪用して他人になりすましてポイントを不正に得るとか、SIMカードを再発行して自分のところに届けさせるSIMスワップとか。こういうのは属人性が強く、脆弱性として認定されにくいので、報奨金も貰えないことが多い。

    • by Anonymous Coward

      テナント間情報漏洩って話だとこんな脆弱性を持ったシステム(あるいはセキュリティ)、を一拠点が導入すると全体でこんな破滅的なことになるよ。
      みたいな具体例を示せればいいんじゃないかな?
      今は実際に起きた後での教訓としてしか活かせてないから予防の観点を設定することを期待してるのかな。

      • by Anonymous Coward

        なんかそれ報告する方も見る方もキツいなぁ…

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...