最大で約180万円の報奨金――米マイクロソフト、バグ懸賞金プログラムの対象に「ASP.NET 5 Beta8」「CoreCLR」を追加：日本語での報告も可能

　米マイクロソフトは2015年10月20日（米国時間）、同社が実施しているバグ懸賞金プログラムの報告対象に、「ASP.NET 5 Beta8」「.NET Core CLR」を加えることを発表した。脆弱（ぜいじゃく）性の発見者には最低500ドル（約6万円）、最大で1万5000ドル（約182万円）が支払われるという。なお、応募規約を順守すれば、日本語での報告も可能とされている。応募期間は、2016年1月20日まで。

　米マイクロソフトでは2013年6月以降、「Office 365」「Microsoft Azure」などのクラウドサービスを含む同社製品の脆弱性に対する報奨金制度を実施してきた。すでに終了しているプログラムもあるが、今回追加されたものを含めて、現在も4つの懸賞プログラムが進行中だ（参考リンク）。

　ASP.NET 5 Beta8は10月15日（米国時間）にリリースされたばかりのASP.NET 5のベータ版で、.NET Core CLR（Common Language Runtime）は、OS XやLinuxなど複数環境で動作可能な.NET Coreの実行エンジン。いずれもオープンソース化され、開発が進められている。

　脆弱性の報告にあたって満たすべき条件は以下の通り。

• CoreCLRやASP.NET 5、あるいはVisual Studio 2015でデフォルト提供される「Web Tools Extension」の「最新ベータ版もしくはRC（Release Candidate：出荷候補）版」に含まれる脆弱性で、未発見のもの
• 分かりやすい再現手順を含むもの

　旧バージョンの脆弱性や、ユーザーが作成したプログラムに存在する脆弱性などの他、米マイクロソフトが条件を満たさないと判断したものについては棄却される。

　なお、報奨金は下表の通りで、報告された脆弱性の質や複雑さなどを基に、米マイクロソフトが支払いの判断を行う。また、脆弱性の内容によっては、最大とされている1万5000ドル以上が支払われる場合もある。

報奨金の一覧

　応募資格などの詳細については、募集要項を参照のこと（参考リンク）。脆弱性の報告は、募集要項内に記載のメールアドレス宛てに、メールで行う。また、本プログラムとは別に、マイクロソフト製品全般の脆弱性に関して日本語で報告を行うことのできる窓口も存在する。もちろん、こちらは報奨金の対象にはならない（関連リンク）。