mmhmm の責任ある開示とバグ報奨金ポリシー

※本ポリシーの原本は英語であり、この日本語の翻訳はお客様の利便性のためのみに提供しております。法的に承諾いただく契約は英語原本になりますこと、ご了承下さい。原本はこちらでご確認ください。

当社はサービスの安全性を保つため日々努力していますが、残念ながら 100% の安全はありえません。セキュリティ問題に関する通知を受けた場合にはそれらを真摯に受け止め、検証可能なものを修正すべく迅速に対応します。問題を修正してユーザーのみなさまの安全を守るためにも、セキュリティ問題を発見したならばぜひこちらのフォームを使用してご報告ください。

このポリシーの適用範囲

当社の責任ある開示ポリシーは、mmhmm 製品、サービス、システムに適用されます。つまり、第三者ベンダーのシステムで発見された脆弱性は、このポリシーの範囲外であり、ベンダーに直接報告する必要があります。もしわからない場合は、当社にご連絡いただければ、問題の切り分けについてご協力できます。

このポリシーの適用者

このポリシーは、潜在的な脆弱性の報告を提出するすべての人に適用されます (mmhmm 従業員・関係者は除きます)。

報奨金の対象者

特定の種類の脆弱性報告に対して報奨金をお支払いする場合がありますが、お支払いを必ずしも保証するものではありません。報奨金の対象となる可能性があるのは以下の通りです。1)報告されるセキュリティ問題の対象範囲が固有である場合、2)報告される問題がお客様以外にこれまでに報告されていない場合、3)報告されるセキュリティ問題が一般公開されていない、または第三者に公開されていない場合、4)お客様への支払いが mmhmm に適用される法律または規制によって禁止されていない場合。 繰り返しになりますが、報奨金の支払いは、すべて当社の裁量によります。

対象ドメイン

mmhmm.app ドメインとそのサブドメインが対象となります。当社の第三者ベンダーのサブドメインは除きます。

対象となる問題

当社の製品、サービス、他のユーザーに影響を与えるような調査は行わないでください。禁止される行為の例は以下の通りです。

  • 何らかの形で mmhmm の製品、サービス、またはユーザー体験を低下させること。
  • 当社のサービスを中断させる危険性のある活動を行うこと。
  • 自動化されたツールを使用して脆弱性を発見すること。これらはノイズとなり、サービス拒否(DoS)につながる可能性があります。
  • 当社または当社ユーザーデータへの不正アクセス、改ざん、または損失につながる可能性のある活動を行うこと。
  • mmhmm の製品またはサービスに対してソーシャル・エンジニアリング(フィッシングを含む)またはサービス拒否(DoS)攻撃を実行すること。
  • あなたに属さない情報またはアカウントを使用またはアクセスすること。
  • いかなる適用法の違反行為を行うこと。

当社が知りたい問題の例としては、以下のような典型的なセキュリティの脆弱性があげられます。

  • 認証または認可の不具合
  • クロスサイトスクリプティング(XSS)
  • クロスサイトリクエストフォージェリ(CSRF)
  • ファイルインクルード
  • オープンリダイレクト
  • サーバーサイドのコード実行
  • インジェクションの不具合
  • セキュリティ上の重大な誤設定

対象外の課題

  • これまでに判明している問題、過去に報告された問題
  • ソーシャルエンジニアリングを必要とする攻撃(フィッシング、スパムなど)
  • セルフ XSS
  • HTTP ヘッダーの欠落(ただし、欠落により既存の攻撃を軽減できない場合を除く)
  • ボリュームベースの DoS(サービス拒否)
  • レート制限の欠如
  • バージョン開示のみで想定される脆弱性
  • 機密性のない Cookie の Cookie フラグ欠落
  • 安全でない SSL/TLS 暗号の報告(ツール・スキャナからの報告だけでなく、PoC が存在する場合を除く)
  • 旧式のブラウザやプラグインに影響を与える不具合

報告すべき情報

セキュリティに関する問題を、以下のフォーマットでこちらのフォームから報告し、「どのようなお問い合わせですか?」で「セキュリティ報告」を選択してください。

お名前:

バグの種類:

ドメインまたは製品:

URL:

PoC・スクリーンショット・ビデオなど:

1 つの報告では、1 つの潜在的脆弱性のみをご報告ください。また、エクスプロイト可能性の証明なしに自動スキャナーの結果を送らないでください。報告は簡潔明瞭にお願いいたします。詳細な情報が必要な場合は、こちらからお客様にご連絡いたします。

その他のガイドライン

  • 当社は、お客様が本ポリシーを遵守することを条件として、当社の裁量による金額の報奨金を支払う権利を留保します。報告を提出していただいても、必ずしも支払いを保証するものではありません。
  • 潜在的な脆弱性は、mmhmm が問題を検討し、修正するまで、一般に公開されない場合があります。
  • お客様の参加は、お客様と mmhmm の間にいかなる種類の雇用またはパートナーシップを生み出すものではなく、お客様はこのプログラムへの参加に関連するすべての法律を遵守しなければなりません。
  • 参加を通じて mmhmm から受け取った情報は、すべて機密情報として扱われなければなりません。
  • 本ポリシー内で別途付与されていないすべての権利は、知的財産権を含め、mmhmm が明示的に留保します。
  • mmhmm は、いつでも事前の通知なしに責任ある開示プログラムを中止する権利を有します。

その他、セキュリティに関するご質問やご不明な点がありましたら、当社までご連絡ください。