米ファイア・アイはこのほど、脆弱性報奨金(バグ・バウンティ)プログラムを発表した。同社はこれまで、パートナーのBugcrowdと提携して非公開でバグ・バウンティを実施してきたが、この度、一般公開されることになった。

調査結果の優先順位付け/評価には、Bugcrowd Vulnerability Rating Taxonomyが用いられる。本稿執筆時点の報酬額は、技術的な重大度が最も大きな「Critical」が1500ドルから2500ドル、重大度「Severe」は800ドルから1250ドル、重大度「Moderate」は200ドルから500ドル、重大度「Low」が50ドルから150ドルとなっている。

テストは、範囲内としてリストされているターゲットでのみ許可され、ターゲットセクションにリストされていないFireEyeのドメイン/プロパティは範囲外となる。

ファイア・アイのバグ・バウンティのテストの対象範囲

また、ソーシャルエンジニアリング攻撃、サービス拒否攻撃、FireEye製品をホストするシステムへの物理的または管理アクセスを必要とする攻撃も対象外となる。