メインコンテンツまでスキップ

脆弱性報奨プログラム

私たちは長年にわたり、セキュリティ研究コミュニティとの緊密な関係を築いてきました。ユーザーの安全を守るうえで貢献いただいている最先端の外部からの取り組みに敬意を表し、DoiT が所有する Web プロパティを対象とした脆弱性報奨プログラムを運用しています。

一般的なガイドライン

  • 本プログラムに参加することにより、DoiT の明示的な同意なく、本プログラムの範囲外の第三者に対して進行中の取り組みや脆弱性について議論または開示しないことに同意したものとみなします。以下に定める例外を除き、この規則に違反した場合は、直ちにプログラムから失格となります。

  • 本プログラム内での不正行為や嫌がらせの試みは、直ちにプログラムから失格となり、法的措置が取られる場合があります。DoiT は、該当する行為を関係当局、業界パートナー、その他のバグバウンティプラットフォームへ報告する権利を留保します。

  • 皆さまの時間と労力を重視しています。レポート提出前に、実際のセキュリティリスクと具体的なビジネスインパクトが明確に示されていることをご確認ください。一般的に、発生可能性が極めて低く、非常に特定の条件を必要とする理論上のリスクは優先度が低くなります。

  • テスト用アカウントは提供していません。

  • 本脆弱性プログラムは、当社のシステム・ユーザー・データの機密性および完全性に対する明確な影響を示す発見を優先します。測定可能なビジネスインパクトのないレポートは対象外となり、「Not Valid」と分類されます。初期レビューと分類の後、現実的なセキュリティ脅威を示さないレポートについては、最も影響の大きいセキュリティ脅威への対処に注力するため、以降の対応を行わない場合があります。当社は、最も意味のある領域にリソースを集中するよう努めており、ご理解に感謝します。

  • 自動化ツールやスキャナーの結果のみを根拠とするレポート、または実行可能性の証明なく理論上の攻撃ベクトルを記述したレポートなど、慎重な手動検証を含まない脆弱性レポートは、自動的に「Not Applicable」としてクローズされます。

  • 機密情報とは、ユーザーの認証情報、当社データベースに保存された情報、DoiT およびその顧客の個人を特定できる情報やビジネス情報、非公開の API キーおよび認証トークンを指します。

  • 深い理解、革新的なエクスプロイト手法、戦略的な影響分析を示す提出は、より高い報奨の対象となる可能性があります。

  • DoiT は、既知のセキュリティ脆弱性を継続的に特定・軽減するための包括的な脆弱性スキャニングツールを導入しています。これらのスキャナーを広範に使用しているため、標準的なスキャニングツールで容易に特定できる脆弱性は、既に当社セキュリティチームが把握している場合があります。報告いただいた脆弱性について、既知である旨を回答する場合があります。

  • 脆弱性の実証に必要な最小限の情報のみを収集してください。エスカレーションは実施しないでください。

サードパーティシステムにおける脆弱性

責任の範囲

DoiT は、業務およびサービスを支援するために、さまざまなサードパーティのツールおよびソフトウェアを利用しています。これらのツールは当社のワークフローに不可欠ですが、当社の脆弱性バウンティプログラムは、これらのサードパーティ製品内で直接発見された脆弱性を対象としないことを明確にします。

多くのベンダーは、脆弱性報告を扱うための脆弱性開示またはバウンティプログラムを提供しています。

サードパーティの脆弱性報告に関するガイドライン

  • 影響を受けるベンダーに直接、責任ある開示を行うことを支持します。これにより、ベンダーはユーザーを最も適切に保護する方法で問題に対処・修正する機会を得られます。この方針は、全体的なセキュリティエコシステムの強化に対する当社の取り組みと一致しています。

  • サードパーティツールの脆弱性が当社のシステムやデータに影響する場合、研究者の皆さまには、当社およびベンダーと協力し、調整された開示プロセスを確保することを推奨します。これにより、影響を受けるすべての関係者において適切な緩和策を効果的に実施でき、潜在的な被害の最小化につながります。

  • 当社のセキュリティチームは、報告プロセスを円滑にするため、ベンダーのセキュリティチームまたはサポートチームの連絡先情報を提供できます。

謝辞

サードパーティツール内の脆弱性は当社プログラムからの報奨の対象外となる場合がありますが、安全なサイバー環境の維持におけるこれらの発見の重要性を認識しており、コミュニティ全体の利益のため、研究者の皆さまがベンダーと直接連携されることを奨励します。

対象サービス

原則として、機密性の高いユーザーデータを扱う DoiT 所有のあらゆる Web サービスを対象とします。これは、以下のドメインに含まれるほぼすべてのコンテンツを含みます。一般的に、Flexsave を含む DoiT プラットフォームのバグも対象となります。

  • *.doit.com
  • *.doit-intl.com

一方で、次の 2 点は重要な除外事項です。

  • サードパーティのサイト。ベンダーやパートナーが、一般的でないドメインでホストされる DoiT ブランドのサービスを運用している場合があります。当社は、これらの所有者に代わってシステムのテストを許可することはできず、そのような報告に対して報奨を提供しません。ページの但し書きを読み、ドメインおよび IP の WHOIS レコードを確認してください。疑義がある場合は、まず当社にご相談ください。

  • 直近の買収。社内レビューと是正の時間を確保するため、新たに買収した企業には 12 か月のブラックアウト期間を設けています。それより早く報告されたバグは、通常、報奨の対象となりません。

対象となる脆弱性

警告

一般的なガイドライン および 対象外の脆弱性 のセクションを必ず確認し、遵守してください!!!

ユーザーデータの機密性または完全性に実質的な影響を及ぼす設計上または実装上の問題は、プログラムの対象となる可能性があります。一般的な例は次のとおりです。

  • クロスサイトスクリプティング

  • クロスサイトリクエストフォージェリ

  • 混在コンテンツのスクリプト

  • 認証または認可の欠陥

  • サーバー側のコード実行バグ

プログラムの対象範囲は、DoiT 所有のブラウザー拡張機能、モバイルアプリケーション、Web アプリケーションにおける技術的な脆弱性に限定されます。DoiT 所有の不動産物件への侵入を試みたり、当社従業員に対するフィッシング攻撃を試みたりしないでください。

すべてのユーザーに対する当社サービスの可用性を考慮し、DoS 攻撃の実行、ブラックハット SEO 手法の利用、スパム送信、その他同様に問題のある戦術は試みないでください。また、非常に大量のトラフィックを自動生成する脆弱性テストツールの使用も推奨しません。

対象外の脆弱性

影響度に応じて、報告された問題の一部は対象外となる場合があります。個別に審査しますが、一般的に金銭的報酬の対象とならない低リスクの問題は次のとおりです。

  • *.bc.googleusercontent.com または *.appspot.com における脆弱性。これらのドメインは、Google Cloud Platform に属する多くのアプリケーションのホスティングに使用されています。Vulnerability Reward Program は、Google Cloud Platform のテストを許可していません。

  • 「サンドボックス」ドメインにおけるクロスサイトスクリプティングの脆弱性。同一生成元ポリシーを活用して、特定の種類の信頼できないコンテンツを安全に分離するためのドメインが複数あります。代表的な例は *.googleusercontent.com です。機密ユーザーデータへの影響が示されない限り、これらのドメインで JavaScript を実行できること自体はバグとは見なしません。

  • URL リダイレクション。現代のブラウザにおける唯一信頼できるセキュリティ指標はアドレスバーであると認識しています。そのため、少数の適切に設計・厳密に監視されたリダイレクターがもたらすユーザビリティとセキュリティの利点は、実際のリスクを上回ると考えます。

  • 合法的なコンテンツのプロキシおよびフレーミング。サードパーティのコンテンツを明確にラベル付けし、複数の不正検知チェックを行うことをサービスに期待しています。

  • 極めて起こりにくいユーザー操作を必要とするバグ。たとえば、被害者が手動で XSS ペイロードを DoiT Platform に入力し、その後エラーメッセージをダブルクリックする必要があるようなクロスサイトスクリプティングの欠陥は、現実的には基準を満たさない可能性があります。

  • ログアウトのクロスサイトリクエストフォージェリ。良し悪しは別として、HTTP クッキーの設計上、単一のサイトがユーザーのログアウトを完全に防ぐことはできません。そのため、この目的を達成するアプリケーション固有の方法は、おそらく対象外となります。より詳しい背景については、Chris Evans や Michal Zalewski の個人ブログ記事に興味があるかもしれません。

  • 古いブラウザやプラグインのユーザーにのみ影響する欠陥。Web のセキュリティモデルは常に微調整されています。審査委員会は、古いまたはパッチ未適用のブラウザのユーザーにのみ影響する問題を記述したレポートには、通常、報酬を与えません。

  • バナーやバージョン情報の存在。バージョン情報自体はサービスを攻撃にさらすものではありません。そのため、これをバグとは見なしません。ただし、古いソフトウェアを発見し、明確に定義されたセキュリティリスクをもたらすと合理的に疑う理由がある場合は、お知らせください。

  • Email なりすまし。なりすましメッセージがもたらすリスクは認識しており、それらの攻撃に対して Gmail フィルターが効果的に対処できるよう対策を講じています。オンラインフォームを含むソーシャルエンジニアリング攻撃やフィッシングは対象外であり、受け付けません。

  • DDoS は対象外です。

  • 研究者による事前検証が行われていないパスワード漏えいの提出。

  • 広く公表された CVE に関連する問題。

  • Content Security Policy の設定や Clickjacking の問題。

  • ユーザー列挙。ユーザー列挙を示すレポートは、ユーザー保護のためのレート制限が存在しないことを実証できない限り、対象範囲外です。

セキュリティ脆弱性の報奨金(バウンティ)

Severity LevelVulnerability TypeReward RangeComments
CriticalRemote code execution, System access$5,000 - $10,000Direct impact on system integrity, data confidentiality, or availability.
HighSQL injection, Significant data breach$2,500 - $4,999High impact on system performance or sensitive data exposure.
MediumCross-site scripting, Moderate data breach$1,000 - $2,499Limited impact on system or data, requiring specific conditions.
LowInformation disclosure, Minor data breach$100 - $999Minimal impact, often requiring extensive user interaction.

  • 重大な脆弱性(Critical) は、攻撃者がシステムを完全に制御したり、機密データにアクセスしたり、システムの完全性と可用性を直接侵害したりできるものです。

  • 高深刻度の脆弱性(High) は、機密性・完全性・可用性に重大な影響を与えますが、必ずしもシステムの直接的な制御には至りません。

  • 中程度の脆弱性(Medium) は、システムのセキュリティに影響を与えますが、複雑さや特定条件の必要性により悪用されにくいものです。

  • 低深刻度の脆弱性(Low) は、影響が最小限であり、重大に悪用される可能性は低いものです。

バグの調査と報告

脆弱性を調査する際は、ご自身のアカウントのみを対象にしてください。他者のデータへのアクセスを試みたり、他のユーザーや DoiT にとって妨害的または有害となる行為は行わないでください。

参加をご希望ですか?脆弱性の報告と再現手順の記載については、email us までご連絡ください。

なお、当社が回答できるのは技術的な脆弱性報告のみです。セキュリティ以外のバグやアカウントに関する問題は、Help Center、Trust Center、または Support へお問い合わせください。

法的な注意事項

制裁リストに掲載された個人、または制裁リストに掲載された国(例:Cuba、Russia、Iran、North Korea、Syria、Crimea、いわゆる Donetsk People's Republic および Luhansk People's Republic)にいる個人には、報酬を提供できません。居住国や国籍に応じた税務上の影響については、ご自身の責任で対応してください。現地法によっては、参加資格に追加の制限が課される場合があります。

これは競争ではなく、実験的かつ裁量的な報酬プログラムです。当社はいつでもプログラムを中止でき、報酬を支払うかどうかの判断は、完全に当社の裁量に委ねられることをご理解ください。

もちろん、テストにあたっては、いかなる法律にも違反せず、ご自身のデータ以外を妨害・破壊・侵害しないようにしてください。

最終更新