Vista と IE7 の賞金付きバグ探しコンテストが開始

Microsoft の新しいオペレーティング システムとブラウザを対象にした、賞金つきのバグ探しコンテストが始まった。

VeriSign の子会社 iDefense Labs は、未知の脆弱性を探し出す賞金プログラム『Vulnerability Contributor Program』の中で、『Windows Vista』と『Internet Explorer 7』を対象にした『Q1 2007 Vulnerability Challenge』を開始した。確認された最初の6つの脆弱性に対して、それぞれ8000ドルの賞金が支払われる予定だ。

また、報告された脆弱性を利用して動作する実証コードもあわせて作成した発見者には、さらに2000ドルから4000ドルが支払われることになっており、1人あたりの賞金額は最大で1万2000ドルになる可能性がある。

iDefense Labs が探し出そうとしている脆弱性は、リモートからの攻撃が可能で、(メールの添付ファイルをクリックするなどの) ユーザーによる操作なしに任意のコードを実行できるタイプの脆弱性だ。ソーシャル エンジニアリングや、サイト閲覧以外の操作をユーザーが行う必要のある攻撃は、このコンテストの対象ではない。

iDefense Labs は、報告される脆弱性の数は6件を超えると予想しているが、同社の広報担当 Jason Greenwood 氏によると、予算の制約から、今回の Vulnerability Challenge は6件の脆弱性が発見された時点で終了するという。

「私たちは、通常の貢献プログラムとして脆弱性の調査報告を毎月数百件受け取っており、今回も賞金に値する報告が6件よりずっと多く報告されると予想している」と、Greenwood 氏は取材に対して語った。

このコンテストは、Microsoft が公認しているわけではない。また、Greenwood 氏によれば、iDefense Labs はこのコンテストに関して VeriSign には連絡していないという。「私たちは Microsoft と仕事上密接な関係を持っており、私たちが脆弱性を発見したら、責任を持って Microsoft に知らせるようにする」と Greenwood 氏は述べた。