株式会社チュートリアルでは、セキュリティに関心のある研究者からの脆弱性の報告をお待ちしております。皆さまからの報告は、弊社製品のセキュリティ向上に役立ちます。詳しくは次の「脆弱性公開プログラム」を参照ください。

脆弱性公開プログラム

対象サービス

本プログラムの対象は、株式会社チュートリアル(以下、弊社とする。)が提供するサービス Robotic Crowd に限定されます。

脆弱性の報告

ユーザーデータと通信のセキュリティは、Robotic Crowd にとって最も重要です。私たちのサービスに可能な限り最高のセキュリティを追求するために、Robotic Crowd で見つかった脆弱性の報告を歓迎します。脆弱性の報告にあたっては、以下の原則を順守くださるようお願いいたします。

  • ご自身のユーザーデータにのみアクセスし、報告してください。
  • インフラストラクチャからデータを流出させないでください(ソースコード、データバックアップ、設定ファイルを含む)。
  • システムへのリモートアクセスにおいて、弊社が正式に公表している方法ではないアクセス方法を発見した場合は、すぐに報告してください。他のサーバーと連携したり、常時利用したりすることはおやめください。
  • 他ユーザーへのサービスの低下を引き起こす可能性が高いスキャン手法は避けてください(サイトの過負荷など)。
  • 利用規約のガイドラインに従ってください。
  • 弊社に脆弱性を報告した後、弊社が脆弱性の修正を完了するまでの間は、脆弱性の詳細を公表しないでください。脆弱性の修正には、1ヶ月程度必要です。

再現性

弊社のエンジニアは、提出していただいた脆弱性レポートからセキュリティ上の欠陥を再現する必要があります。明確に書かれた再現手順と説明を含むレポートの提出をお願いいたします。

重大度

弊社は、ユーザーデータにアクセスするために悪用される可能性があるセキュリティの脆弱性に関心があります。脆弱性が単独で、またはあなたが報告していない他の脆弱性と組み合わせて、ご自身のものではない他のユーザーデータにアクセスできる場合にのみ、脆弱性を認定します。限定的な脆弱性ではなく、悪用されないものは一般的な「バグ」です。この悪用は、Robotic Crowd のシステムの脆弱性のみに依存する必要があります。

対象となる脆弱性

  • クロスサイトスクリプティング(XSS)
  • クロスサイトリクエストフォージェリ(CSRF)
  • サーバー側のコード実行
  • 認証または承認の欠陥
  • インジェクションの脆弱性
  • ディレクトリトラバーサル
  • 情報開示
  • 重大なセキュリティの誤設定

プログラムの除外

  • コンテンツのなりすまし/テキストインジェクション
  • Self-XSS (有効であるために、クロスサイトスクリプティングの問題は、リフレクト、格納、またはDOMベースのタイプで悪用可能でなければなりません)
  • ログアウトおよびその他の重大度の低いクロスサイトリクエストフォージェリ
  • クロスサイトトレース(XST)
  • セキュリティへの影響が少ないオープンリダイレクト(OAuthトークンの盗難等、影響が大きい場合は報告をお願いします)
  • HTTPセキュリティヘッダーがない
  • 機密性の低いCookieにCookieフラグがない
  • リンクの有効期限のリセットやパスワードの複雑さなどのパスワードおよびアカウント回復ポリシー
  • 無効または欠落したSPF(Sender Policy Framework)レコード(不完全または欠落したSPF/DKIM)
  • 古いまたはパッチが適用されていないブラウザおよびプラットフォームのユーザーのみに影響する脆弱性
  • SSL/TLSのベストプラクティス
  • 実際のセキュリティに影響を与えないクリックジャッキング/UIの修正
  • ソフトウェアバージョンの開示

手順

脆弱性を発見した場合は、inquiry@tutorial.co.jp 宛に脆弱性レポートの提出をお願いいたします。提出されたレポートは、セキュリティインシデント対応チームのメンバーによってレビューおよび検証されます。問題を再現するための明確で簡潔な手順を提供いただくことで、迅速な対応が可能になります。

報酬

このプログラムでは、脆弱性レポートの提出に対して金銭的な報酬を提供しません。

規約と条件

  • テストまたは調査を行うときは独自のアカウントを使用してください。他のユーザーのアカウントや機密情報にアクセスしようとしないでください。
  • スパム、ソーシャルエンジニアリング、サービス拒否のようなテストをしないでください。
  • テストでは、法律に違反したり、ご自身のものではないデータを破壊したり、侵害したりしてはなりません。
  • 本プログラムに違反し弊社が損害を受けるような事象が発生した場合、適切な法律に則り対処します。

本プログラムにご質問がある方は、inquiry@tutorial.co.jp までお問い合わせ下さい。