**Microsoft**は、今年のゼロデイクエストハッキングコンテストで約700件の提出を受け付けた後、セキュリティ研究者に230万ドルを授与しました。 ### 影響力の大きい脆弱性の発見 **Microsoft** Security Response Center (**MSRC**) のエンジニアリング担当バイスプレジデントである**Tom Gallagher**氏によると、**Microsoft**のレドモンドキャンパスで開催されたライブイベント中に発見された80以上の脆弱性は、影響力の大きいクラウドおよびAIセキュリティの脆弱性でした。 「2026年のライブハッキングイベント中、**Microsoft**は、高校生から大学教授まで、20カ国以上を代表し、幅広い専門的背景を持つグローバルなセキュリティ研究コミュニティと提携しました」とGallagher氏は述べています。 研究者たちは、**Microsoft**のエンゲージメントルールに従い、承認された環境内で全てのテストを実施し、顧客データや他のテナントシステムにアクセスすることなく、潜在的な影響を示しました。これらの制約の中で、研究者たちは、認証情報漏洩、SSRFチェーン、およびクロステナントアクセスを含むクリティカルパスを特定しました。 ### 賞金プールの増加と参加 昨年8月、**Microsoft**は、今年のゼロデイクエストハッキングコンテストの賞金プールを500万ドルのバウンティ賞に増額すると発表し、同社はこのイベントを「史上最大のハッキングイベント」と表現しました。 2025年のゼロデイクエストも、クラウドおよびAI製品とプラットフォームの脆弱性に対して400万ドルの報酬を提供するという**Microsoft**の申し出に続き、セキュリティコミュニティから大きな参加を得ました。 ハッキングコンペティション終了後、**Microsoft**は、600件以上の脆弱性提出を受け付け、160万ドルの報酬を支払ったと発表しました。 ### Secure Future Initiative (SFI) ゼロデイクエストコンテストは、米国国土安全保障省のサイバーセキュリティレビューボードからの厳しい報告を受け、同社のセキュリティ文化が「不十分」であり、「見直し」が必要であると判断された後、2023年11月に開始されたサイバーセキュリティエンジニアリングの取り組みである**Microsoft**のSecure Future Initiative (**SFI**) の一部です。 「Secure Future Initiative (SFI) の一環として、顧客による対応が不要な場合でも、CVEプログラムを通じてクリティカルな脆弱性を透明性をもって共有します」とGallagher氏は8月に述べています。「ゼロデイクエストからの学びは、SFIの基本原則である、デフォルトでのセキュリティ、設計でのセキュリティ、運用でのセキュリティに沿って、クラウドとAIのセキュリティを改善するために**Microsoft**全体で共有されます。」 その月の初め、**Microsoft**は、2024年7月から2025年6月にかけて、バグバウンティプログラムを通じて59カ国の344人のセキュリティ研究者に記録的な1700万ドルを支払ったと発表しました。 12月には、サードパーティが脆弱なコードを記述した場合でも、**Microsoft**のオンラインサービスにおけるクリティカルな脆弱性を発見したセキュリティ研究者には報酬が支払われるとも発表しました。