本記事は、Microsoft Security Response Center のブログ “Speculative Execution Bounty Launch” (2016 年 3 月 14 日 米国時間公開) を翻訳したものです。
本日、マイクロソフトは投機的実行のサイドチャネルの脆弱性に関する期間限定の報奨金プログラムの開始を発表します。この新しい脆弱性のクラスは 2018 年 1 月に公開され、この分野における研究の大きな進歩を象徴するものとなりました。その脅威環境の変化を受けて、新しい脆弱性のクラスの研究と、この課題のクラスを軽減するためにマイクロソフトが発表した緩和策を推進するために、報奨金プログラムを開始します。
概要:
- プログラムの期限: 2018 年 12 月 31 日まで
- 詳細: 投機的実行のサイドチャネルに関する報奨金プログラムの利用規約
- プログラムの利用規約: 標準的な利用規約と条件を適用 (英語情報)
- プログラムのレベル分け: (以下を参照)
| レベル | 報奨金の範囲 (米国ドル) |
| レベル 1: 投機的実行の攻撃で新しいカテゴリとなるもの | 最高で $250,000 |
| レベル 2: Azure の投機的実行の緩和策バイパス | 最高で $200,000 |
| レベル 3: Windows の投機的実行の緩和策バイパス | 最高で $200,000 |
| レベル 4: Windows 10 または Microsoft Edge における既知の投機的実行の脆弱性(CVE-2017-5753など) のインスタンス。この脆弱性は、信頼の境界を越えた機密情報の漏えいを可能にするものでなければならない。 | 最高で $25,000 |
投機的実行は真に新しい脆弱性のクラスであり、新規の攻撃手法に関する研究は既に進められています。この報奨金プログラムは、そのような研究とこれらの課題に関連する協調的な脆弱性の公開を発展させる 1 つの方法になることを意図しています。レベル 1 は、投機的実行のサイドチャネルに関与する新しい攻撃のカテゴリに注目します。現在、業界内で既知の内容については、Security Research & Defense チームがブログ (英語情報) で追加情報を発表しています。レベル 2 および 3 は、すでに識別されている攻撃から防御するために Windows と Azure に追加された緩和策のバイパスが対象です。レベル 4 は、CVE-2017-5753 または CVE-2017-5715 を悪用できるインスタンスで、存在する可能性のあるものを取り扱います。
投機的実行のサイドチャネルの脆弱性には、業界としての対応が必要です。そのため、影響を受けた関係者がこれらの脆弱性に関するソリューションにおいて協業できるよう、マイクロソフトは本プログラム下で公開された研究を協調的な脆弱性の公開の原則のもとで共有します。私たちはセキュリティ研究者とともに、お客様の環境の安全性をさらに高めていきます。
Phillip Misner Principal Security Group Manager Microsoft Security Response Center
■ご報告時の注意点
マイクロソフトの報奨金プログラムへご参加される場合は、脆弱性報告はすべて、報奨金プログラムのガイドラインに沿って米国 secure@microsoft.com へ直接ご報告いただく必要があります。この際、英語でのご報告が困難な場合は日本語の併記・記載でも構いません。これは、報奨金受賞者選定において、公平性の観点で重要となります。皆様のご参加をお待ちしています!