メインコンテンツへスキップ

脆弱性報奨金プログラム

私たちは長年にわたり、セキュリティ研究コミュニティとの緊密な関係を築いてきました。ユーザーの安全を守るうえで貢献いただいている最先端の外部からの取り組みに敬意を表し、DoiT が所有する Web プロパティを対象とした脆弱性報奨金プログラムを運用しています。

一般ガイドライン

  • 本プログラムに参加することにより、DoiT の明示的な同意なく、本プログラムに基づく進行中の作業や脆弱性について、プログラム外の第三者と議論または開示しないことに同意したものとみなします。以下に定める場合を除き、この規則に違反した場合は、直ちに本プログラムから失格となります。

  • 本プログラム内での不正行為やハラスメント行為の試みは、直ちに失格となり、法的措置の対象となる可能性があります。DoiT は、関連する法執行機関、業界パートナー、その他のバグバウンティプラットフォームに対し、当該行為を報告する権利を留保します。

  • 皆さまの時間と労力を尊重します。レポートを提出する前に、実際のセキュリティリスクと具体的なビジネス影響を明確に示していることを確認してください。一般的に、極めて発生可能性の低い、非常に特異な条件を必要とする理論上のリスクは優先しません。

  • テストアカウントは提供しません。

  • 当社の脆弱性プログラムは、当社のシステム・ユーザー・データの機密性および完全性に対する真の影響を明確に示す発見事項を優先します。測定可能なビジネス影響のないレポートは検討対象外となり、「Not Valid」に分類されます。初期レビューと分類の後、現実的なセキュリティ脅威を示さないレポートは、最も影響の大きいセキュリティ脅威への対処に注力するため、それ以上の対応を行わない場合があります。当社は、最も意味のある効果が見込める領域に注力するよう努めており、ご理解に感謝します。

  • 自動化ツールやスキャナの結果のみに基づくレポート、または実証可能性の裏付けなく理論的な攻撃ベクトルを記述したレポートなど、慎重な手動検証を含まない脆弱性レポートは、自動的に「Not Applicable」としてクローズされます。

  • 機密情報とは、ユーザー認証情報、当社データベース内に保存された情報、DoiT およびその顧客の個人情報およびビジネス情報、プライベートな API キーおよび認証トークンを指します。

  • 深い理解、革新的なエクスプロイト手法、戦略的な影響分析を示す提出物は、より高い報酬の対象となる可能性があります。

  • DoiT は、既知のセキュリティ脆弱性を継続的に特定・軽減するため、包括的な脆弱性スキャニングツールを使用しています。これらのスキャナを広範に使用しているため、標準的なスキャニングツールで容易に識別できる脆弱性については、当社のセキュリティチームが既に把握している場合があります。報告された脆弱性について、既知である旨をお伝えする場合があります。

  • 脆弱性を実証するために必要な最小限の情報のみを収集してください。いかなるエスカレーション処理も実施しないでください。

サードパーティシステムの脆弱性

責任範囲

DoiT は、業務およびサービスを支えるためにさまざまなサードパーティのツールやソフトウェアを利用しています。これらのツールは当社のワークフローに不可欠ですが、当社の脆弱性バウンティプログラムは、これらのサードパーティ製品自体で発見された脆弱性を対象としないことを明確にします。

多くのベンダーは、脆弱性報告に対応するための開示プログラムやバウンティプログラムを備えています。

サードパーティの脆弱性報告に関するガイドライン

  • 影響を受けるベンダーに対して脆弱性を責任ある形で直接開示し、ユーザーを最善に保護できる方法で問題に対処・修正する機会を提供することを支持します。このアプローチは、セキュリティエコシステム全体の強化という当社のコミットメントに合致します。

  • サードパーティツールの脆弱性が当社のシステムやデータに影響を及ぼす場合、研究者には、調整された開示プロセスを確保するため、当社およびベンダーと協力することを推奨します。これにより、関係者全体で適切な緩和策を効果的に実装し、潜在的な被害を最小化できます。

  • 当社のセキュリティチームは、報告プロセスを円滑にするために、ベンダーのセキュリティチームまたはサポートチームの連絡先情報を提供できます。

謝辞

サードパーティツール内の脆弱性は当プログラムの報酬対象外となる場合がありますが、安全なサイバー環境の維持におけるこれらの発見の重要性を認識しており、コミュニティ全体の利益のために研究者がベンダーと直接連携することを推奨します。

対象サービス

原則として、合理的に機微なユーザーデータを扱う DoiT が所有するあらゆる Web サービスを対象とします。これには、以下のドメインに含まれる事実上すべてのコンテンツが該当します。一般的に、DoiT プラットフォーム(Flexsave を含む)のバグも対象となります。

  • *.doit.com
  • *.doit-intl.com
  • *.perfectscale.io

一方で、次の 2 点は重要な除外事項としてご留意ください。

  • サードパーティのサイト。ベンダーやパートナーが、あまり一般的でないドメインで DoiT ブランドのサービスを運用している場合があります。これらのシステムについて、当社は所有者に代わってテストを許可できず、そのような報告に対して報酬を提供しません。ページの但し書きをよく読み、ドメインおよび IP の WHOIS レコードを確認してください。不明な場合は、まず当社にご相談ください。

  • 直近の買収先。社内レビューと修正の時間を確保するため、新たに買収した企業には 12 か月のブラックアウト期間を設けています。それよりも早期に報告されたバグは、通常、報酬の対象外となります。

対象となる脆弱性

警告

一般ガイドライン および 対象外の脆弱性 のセクションを必ず確認し、遵守してください。

ユーザーデータの機密性または完全性に実質的な影響を与える設計上または実装上の問題は、プログラムの対象となる可能性が高いです。一般的な例は次のとおりです。

  • クロスサイトスクリプティング

  • クロスサイトリクエストフォージェリ

  • 混在コンテンツのスクリプト

  • 認証または認可の欠陥

  • サーバーサイドのコード実行バグ

なお、本プログラムの対象範囲は、DoiT が所有するブラウザ拡張機能・モバイルアプリ・Web アプリケーションにおける技術的な脆弱性に限定されます。DoiT が所有する不動産への侵入行為を試みたり、当社従業員に対するフィッシング攻撃を試みたりしないでください。

すべてのユーザーに対する当社サービスの可用性に配慮し、DoS 攻撃の実施、ブラックハット SEO 手法の活用、スパム送信、その他同様に疑わしい戦術の実行は行わないでください。また、非常に大量のトラフィックを自動生成する脆弱性テストツールの使用は推奨しません。

報奨対象外の脆弱性

影響度に応じて、報告された問題の一部は対象外となる場合があります。個別に審査しますが、一般的に金銭的な報奨の対象とならない低リスクの問題の例は以下のとおりです。

  • *.bc.googleusercontent.com または *.appspot.com における脆弱性。これらのドメインは Google Cloud Platform に属する多数のアプリケーションをホストするために使用されています。Vulnerability Reward Program は Google Cloud Platform のテストを許可していません。

  • 「サンドボックス」ドメインにおけるクロスサイトスクリプティングの脆弱性。同一生成元ポリシーを活用して、信頼できない特定種類のコンテンツを安全に分離するためのドメインが複数あります。代表的な例は *.googleusercontent.com です。機密ユーザーデータへの影響が実証できない限り、これらのドメインで JavaScript を実行できること自体はバグとは見なしません。

  • URL リダイレクト。最新のブラウザではアドレスバーが唯一信頼できるセキュリティ指標であると認識しています。そのため、少数の、適切に設計され厳密に監視されたリダイレクターによるユーザビリティとセキュリティの利点は、実際のリスクを上回ると考えています。

  • 正当なコンテンツのプロキシやフレーミング。サードパーティのコンテンツを明確にラベル表示し、複数の不正検出チェックを実行することをサービスに求めています。

  • 極めて起こりにくいユーザー操作を必要とするバグ。たとえば、被害者が手動で XSS ペイロードを DoiT Platform に入力し、その後エラーメッセージをダブルクリックする必要があるようなクロスサイトスクリプティングの欠陥は、現実的には基準を満たさない可能性があります。

  • ログアウトに関する Cross-Site Request Forgery。良し悪しは別として、HTTP クッキーの設計上、単一のサイトがユーザーのログアウトを防ぐことはできません。そのため、アプリケーション固有の方法でこれを達成できても、原則として対象外となる可能性が高いです。背景については、Chris Evans と Michal Zalewski による個人ブログ記事が参考になるかもしれません。

  • 旧式のブラウザやプラグインのユーザーにのみ影響する不具合。ウェブのセキュリティモデルは常に微調整されています。委員会は、古いまたは未パッチのブラウザのユーザーのみに影響する問題を記載したレポートに対しては、通常報奨を付与しません。

  • バナーやバージョン情報の表示。バージョン情報それ自体は、サービスを攻撃にさらすものではありません。したがって、これをバグとは見なしません。ただし、古いソフトウェアを発見し、明確に定義されたセキュリティリスクをもたらす十分な理由があると疑われる場合は、お知らせください。

  • Email なりすまし。なりすましメッセージがもたらすリスクは認識しており、Gmail のフィルターがそのような攻撃に効果的に対処できるよう取り組んでいます。ソーシャルエンジニアリング攻撃やフィッシング(オンラインフォームを含む)は対象外であり、受け付けません。

  • DDoS は対象外です。

  • 研究者による事前検証が行われていないパスワード漏えいの投稿。

  • 広く公表された CVE に関連する問題。

  • Content Security Policy の設定、クリックジャッキングの問題。

  • ユーザー列挙。ユーザー列挙を示すレポートは、当社がユーザーを保護するためのレートリミットを設けていないことを実証できない限り、対象外です。

セキュリティ脆弱性の報奨金(バウンティ)

Severity Level脆弱性タイプ報奨金範囲コメント
Criticalリモートコード実行・システムアクセス$5,000 - $10,000システムの完全性・データの機密性・可用性への直接的な影響。
HighSQL インジェクション・重大なデータ侵害$2,500 - $4,999システム性能や機微なデータ露出への高い影響。
Mediumクロスサイトスクリプティング・中程度のデータ侵害$1,000 - $2,499特定の条件を要するなど、システムやデータへの影響が限定的。
Low情報漏えい・軽微なデータ侵害$100 - $999影響は最小限で、多くの場合ユーザーの広範な操作が必要。

  • Critical の脆弱性 は、攻撃者がシステムを完全に制御したり、機密データにアクセスしたり、システムの完全性や可用性を直接侵害したりすることを可能にします。

  • High の脆弱性 は、機密性・完全性・可用性に重大な影響を与えますが、必ずしもシステム制御に直結しない場合があります。

  • Medium の脆弱性 は、システムのセキュリティに影響しますが、複雑さや特定条件の必要性により悪用されにくい傾向があります。

  • Low の脆弱性 は影響が最小限で、重大な悪用が行われる可能性は低いです。

バグの調査と報告

脆弱性を調査する際は、必ずご自身のアカウントのみを対象にしてください。第三者のデータへのアクセスを試みたり、他のユーザーや DoiT に対して混乱や損害を与える行為は行わないでください。

参加をご希望ですか? 脆弱性を報告する際は、メールをお送りいただき、再現手順を記載してください。

なお、当社がお答えできるのは技術的な脆弱性レポートのみです。セキュリティ以外のバグやアカウントに関する問題については、代わりに Help Center、Trust Center、または Support へお問い合わせください。

制裁リストに記載された個人、または制裁リストに記載された国(例:Cuba・Russia・Iran・North Korea・Syria・Crimea・いわゆる Donetsk People's Republic および Luhansk People's Republic)に所在する個人には報奨を提供できません。居住国や市民権に応じて、税務上の影響についてはご自身で責任を負ってください。お住まいの地域の法律によっては、参加能力に追加の制限が課される場合があります。

これは競争ではなく、実験的かつ裁量的な報奨プログラムです。当社はいつでも本プログラムを中止でき、報奨を支払うかどうかの判断は全面的に当社の裁量に委ねられることをご理解ください。

もちろん、テストは一切の法令に違反せず、ご自身のデータ以外を妨害・侵害・危殆化させないものでなければなりません。

最終更新