Microsoft

マイクロソフトは本日、イリノイ州シカゴで開催されたIgnite年次カンファレンスで、クラウドとAI製品およびプラットフォームに焦点を当てた新しいハッキングイベント「Zero Day Quest」を開催し、バグ報奨金プログラムを拡大すると発表した。

ゼロデイ・クエストは、特定のシナリオに関する脆弱性を提出することで、倍率の高い報奨金を獲得できるリサーチ・チャレンジから始まり、2025年にワシントン州レドモンドで開催されるオンサイト・ハッキング・イベント(招待者のみ)への参加資格が得られる可能性がある。このチャレンジは誰でも参加でき、2024年11月19日から2025年1月19日まで実施される。

マイクロソフトは、AIのセキュリティをさらに向上させるため、本日より、セキュリティ研究者から報告されたAIの脆弱性に対して2倍の報奨金を提供するとともに、マイクロソフトのAIエンジニアと同社のAIレッドチームへの直接アクセスを提供するとしている。

マイクロソフト・セキュリティ・レスポンス・センター(MSRC)のエンジニアリング担当副社長であるトム・ギャラガー氏は、「この新しいハッキング・イベントは、この種のイベントとしては最大規模となり、特にクラウドとAIといった影響力の大きい分野の研究に対して、さらに400万ドルの賞金を提供する可能性がある」と述べた。

「ゼロデイ・クエストは、セキュリティ・コミュニティがマイクロソフトのエンジニアやセキュリティ研究者と手を携えて作業する新たな機会を提供する。

これは、マイクロソフトのセキュア・フューチャー・イニシアチブ(SFI)の一環であり、2023年11月に開始されたサイバーセキュリティ・エンジニアリングの取り組みで、米国国土安全保障省のサイバー安全審査委員会(Cyber Safety Review Board)が同社の「セキュリティ文化は不十分であり、見直しが必要である」とする厳しい報告書を前にして、同社製品全体のサイバーセキュリティ保護を強化するものである。

既報の通り、マイクロソフトは5月に中国のハッカーによる攻撃を受け、同社のクラウドベースのExchange電子メールプラットフォームに侵入した攻撃者が米国務省のアカウントから6万通以上の電子メールを盗み出した。

他の複数のマイクロソフト製品やプラットフォームに影響を与えるセキュリティ欠陥も、広範な攻撃に利用されている。例えば、近年では、多くの脅威行為者(ランサムウェアのギャングを含む)がProxyShellProxyNotShellProxyLogonの脆弱性を悪用し、オンラインで公開されている数万台のExchangeサーバーを標的にしています。

「セキュア・フューチャー・イニシアチブ(Secure Future Initiative:SFI)の一環として、私たちは共通脆弱性暴露(Common Vulnerabilities and Exposures:CVE)プログラムを通じて、重要な脆弱性を透明性をもって共有します。

「ゼロデイ・クエストから得られた教訓は、マイクロソフト全体で共有され、クラウドとAIのセキュリティの向上に役立ちます。

これは、Windows 11デバイスでプレビュー利用可能で、Windows Hello認証の追加プロンプトを使用して重要なシステムリソースへのアクセスをブロックするように設計されています。

「SFIを立ち上げて以来、私たちは34,000人のフルタイムエンジニアに相当する人数を、最優先のセキュリティ課題に集中させてきました。