米Microsoftは14日(米国時間)、投機実行機能を利用したサイドチャネル攻撃について、2018年12月31日までの期間限定で、新たな報奨金プログラムを開始した。

1月に発見された、汎用プロセッサの投機実行機能を利用したサイドチャネル攻撃(Google、CPUの投機実行機能に脆弱性発見参照)を受け、同社では、投機実行機能を利用した攻撃は、今までにない新たな種類の攻撃であり、すでに新しい攻撃方法の研究が進められているとの考えを示しており、研究と問題の緩和を目的として報奨金プログラムを開始するとしている。

報奨金対象となる報告は以下のとおり。

ティア 報奨金 ティア1: 新たな投機実行機能を利用した攻撃 最高25万ドル ティア2: Azureの投機実行脆弱性対策の回避 最高20万ドル ティア3: Windowsの投機実行脆弱性対策の回避 ティア4: WindowsまたはEdgeブラウザ上の既知の脆弱性(CVE-2017-5753など)の実証 ※プログラム内の信頼境界線を破り機密情報を開示できることが必須 最高25,000ドル

同社では、投機的実行のサイドチャネル脆弱性には、業界の対応が必要であり、影響を受ける当事者が脆弱性の解決に協力できるよう、この報奨金プログラムによって公開された調査について、脆弱性開示の原則のもと共有するとしている。