脆弱性報奨金プログラム

実施前の注意事項

当社の製品やサービスに関するセキュリティ上の脆弱性について、ぜひご報告ください。セキュリティ研究者の皆様への謝礼として、適切な手順に従って当社に開示された対象となる報告に対し、報奨金をお支払いいたします。

ただし、セキュリティ調査が他のユーザーやそのデータにセキュリティ上のリスクをもたらさないようにし、また当社の監視システムによって調査が悪意のある侵入試みとして検知される可能性を低減するため、遵守すべき一定のルールがあります。また、予期せぬ事態を避けるため、報告の受理や報奨金の支払いに関する特定の事項についても、あらかじめ明確にしておきたいと思います。

「セキュリティ上の脆弱性」とは、サービスまたはデータの機密性、完全性、可用性を侵害する問題、あるいはフィンランドの現行データ保護法に準拠しない方法で保存または処理されている個人データ（個人を特定できる情報）に関連する問題を指します。
本脆弱性報奨プログラムは現在、以下のWithSecure製品およびサービスを対象としています：

• WithSecure Policy Manager
• WithSecure Client Security
• WithSecure Client Security Premium
• WithSecure Server Security
• WithSecure Server Security Premium
• WithSecure E-mail and Server Security
• WithSecure E-mail and Server Security Premium
• WithSecure Linux Protection
• WithSecure Atlant
• WithSecure Elements EPP for Computers (Windows および Mac)
• WithSecure Elements EPP for Computers Premium (Windows)
• WithSecure Elements EPP for Servers (Windows および Linux)
• WithSecure Elements EDR for Servers (Windows および Linux)
• WithSecure Elements EPP for Servers Premium (Windows および Linux)
• WithSecure Elements EDR for Computers (Windows および　Mac)
• WithSecure Elements EDR and EPP for Computers (Windows および Mac)
• WithSecure Elements EDR and EPP for Computers Premium (Windows)
• WithSecure Elements EDR and EPP for Servers (Windows および Linux)
• WithSecure Elements Mobile Protection (Android および iOS)
• WithSecure Elements Collaboration Protection
• WithSecure Countercept Managed Detection & Response (MDR)

WithSecureのその他の製品、サービス、または公開Webページに関する報告も歓迎しますが、これらは現在、本報奨プログラムの対象外となります。
制限事項および対応バージョン
WithSecureのWebページ、Google Playストア、Windows Phoneストア、またはApple App Storeを通じて公開されている、最新のデータベース更新が適用された現在の最新バージョン。現在の最新バージョンに関する情報は、こちらでご確認いただけます。

制限事項と再現性
ブラウザ側のセキュリティ問題は、HTML5に対応したWebブラウザ上で再現可能である必要があります。モバイルデバイスクライアントの脆弱性は、ルート化されていないデバイス上で、かつデバイスメーカーが提供する最新（かつ1年以内）のファームウェアを使用して再現可能である必要があります。Android では、デバイスに Google Play Services が工場出荷時にプリインストールされている必要があります。デスクトップクライアントでは、攻撃者が管理者権限やルート権限を必要とせず、かつ OS ベンダーまたはディストリビューションから提供された最新のセキュリティパッチが適用された状態で再現可能であることが求められます。対象となるクライアントのバグは、WithSecure がクライアントアプリケーションの一部として提供するコード内に存在する必要があります。サードパーティ製コンポーネントのバグについては、WithSecureクライアントアプリケーションの一部として提供されている場合、一般的に対象となります。基盤となるプラットフォーム、OS、プラットフォーム提供のライブラリのバグである問題についても、WithSecureアプリケーションに顕在化したり影響を及ぼしたりする限り、対象となる可能性があります。外部コンポーネントのバグについては、影響を受ける当事者への適時な通知を当社が責任を持って行います。不明な点がある場合は、事前に当社までお問い合わせください。
許可されるセキュリティ調査

当サイトでは、以下の条件を満たすセキュリティ研究のみを許可しています：

• 第三者のサービスまたはその可用性に影響を与えないよう、誠意をもって努めること；
• 他のユーザーのアカウント、個人データ、またはコンテンツに影響を与えたり開示したりせず、また他のユーザーへのサービスの可用性に影響を与えないよう、誠意をもって努めること；
• ご自身に帰属するユーザーアカウントのみを使用すること（本脆弱性報奨プログラムにおけるセキュリティ調査を目的として、複数のアカウントを作成することは許可されています）；
• ご自身に帰属するユーザーアカウント、ユーザーデータ、または個人データ、もしくは偽のテストデータのみを対象とする；
• ご自身が所有し運用するハードウェアにインストールされたクライアントのみを使用または対象とする；
• お住まいの地域の法律およびフィンランドの法律に準拠した方法のみを使用する；
• 無害な概念実証（PoC）デモンストレーションに技術的に必要な範囲を超える、悪意のあるまたは破壊的なペイロードを使用しない；
• 適切な除外事項を適用した上で、上記に記載されたサービスまたは製品のみを対象とする。

特定の種類の調査が許可されているか、あるいは対象が調査範囲に含まれるかどうかについてご質問がある場合は、調査を実施する前に security@withsecure.com までご連絡ください。

脆弱性の報告方法

脆弱性の報告方法
報告は、security@withsecure.com 宛てにメールにてご提出ください。キーサーバーで入手可能な当社のPGPキー（キーフィンガープリント：2622 90BA C1DB AB46 2954 B150 1518 05EB 454B 15C4）を使用してメールを暗号化し、ご自身の公開鍵をメールに添付することを強く推奨いたします。
脆弱性報告を提出することにより、お客様は、当社に対し、提出内容またはその一部を当社の製品、サービス、またはテストシステムに使用、変更、組み込むための、永続的、全世界的、ロイヤリティフリー、取消不能かつ非独占的なライセンスおよび権利を付与するものとします。これに伴い、お客様に対する追加の義務や通知は一切発生しません。
セキュリティまたはプライバシーに関連しないバグ報告やカスタマーサービスへの問い合わせをこのメールアドレスに送信された場合、対応いたしかねます。WithSecure製品に関するセキュリティ以外の質問がある場合は、WithSecure Communityをご覧いただくか、Support For Businessまでお問い合わせください。

報告書には、少なくとも以下の点について記載してください：

– 発見した内容；
– 具体的な発見箇所と再現手順；
– 例：攻撃が特定のURIやパラメータに関連する場合は、その情報を詳細にご提供ください。
– 例：ファジングを実施している場合は、特に使用した初期コーパスなど、追加情報を提供してください。
– 脆弱性がサービスに関連する場合、再現できた日時（UTC）を記載してください（その後、新しいバージョンがデプロイされている可能性があります）。
– 脆弱性がクライアントに関連する場合、クライアントのバージョン番号、クライアントが動作しているプラットフォーム、およびデータベースのバージョン（該当する場合）を記載してください。
– 脆弱性による想定される影響、または攻撃者が脆弱性を悪用する方法；
– 可能であれば、概念実証（PoC）または機能するエクスプロイト；
– 可能であれば、修正案。
特に再現が困難な場合など、その他の関連する技術情報があれば、ぜひご提供ください。弊社で再現できない場合、報奨金をお支払いすることはできません。

領収書は、5営業日以内にお送りする予定です。その期間内にご連絡がない場合は、再度レポートをお送りください。

報告後の流れ

当社の開発チームが本件を調査し、ご報告いただいた内容が実際にセキュリティ上の脆弱性であるか、またご提供いただいた情報に基づいて再現が可能かどうかを判断いたします。要件を満たす場合、問題が修正された後に報奨金を支払います。
ケースごとに状況が異なるため、具体的な修正（およびそれに伴う報奨金の支払い）のスケジュールを確約することはできません。ただし、社外から報告されたセキュリティ問題については社内で最優先で対応しており、進捗状況については随時お知らせするよう努めます。また、担当者に連絡して進捗状況を確認することも可能です。

弊社では、報奨金を支給した方の氏名を公表する場合があります。また、脆弱性に関するセキュリティ情報（バグ報告）を公開する際には、発見者への謝辞を記載させていただくことがあります。ただし、ハンドルネームや匿名での公表をご希望の場合は、もちろんその意向を尊重いたします。

私たちはあなたの視点に立って問題を検討するよう努めますが、ごく一部のケースにおいて、発見された問題がリスクをもたらさない、あるいはセキュリティやプライバシー上のバグではないと判断する場合があります。そのような場合、報奨金は支払われません。

修正される前に、何らかの形で発見内容が公になった場合、報奨金は支払われません。もし他の方が既にその問題を報告している場合は、問題が修正された後にその旨をお知らせします。複数の研究者が同一の問題を報告した場合、その発見を再現するのに十分な技術的詳細を提供した最初の報告者に対してのみ報奨金を支払います。これにより、「すべては以前にもう発見済みだ」と主張する抜け穴が生まれることは承知していますが、ご安心ください。私たちは公平を期したいと考えています。

お支払い

重要！お支払いの情報を事前に当社へお送りにならないようお願いいたします。お支払いの時期が来ましたら、その際にお求めになる情報をお伺いいたします。

お支払いは、単一ユーロ決済圏（SEPA）内では銀行振込、SEPA圏外では国際銀行振込（電信送金）にて行われます。小切手、仮想通貨、その他の送金サービスはご利用いただけません。送金に伴う手数料や諸費用は受取人の負担となり、送金後の資金の受け取りについても受取人の責任となります。お支払いは原則としてユーロ（EUR）で行われ、通貨換算は当日の銀行為替レートに基づいて行われます。

居住地にかかわらず、すべての研究者への報酬については、フィンランド税務当局への報告が義務付けられています。報告および実際の支払いを行うため、後日、氏名、生年月日、現在の郵送先住所、および銀行振込先情報をご提供いただく必要がございます。法人を所有されている場合は、請求書によるお支払いをお願いする場合がございます。

居住地にかかわらず、すべての研究者への報酬については、フィンランド税務当局への報告が義務付けられています。報告および実際の支払いを行うため、後日、氏名、生年月日、現在の郵送先住所、および銀行振込先情報をご提供いただく必要がございます。法人を所有されている場合は、請求書によるお支払いをお願いする場合がございます。

これらの本人確認要件は当局によって課されたものであり、当社として例外を認めることはできません。また、経済制裁の対象となっている国や地域、および制裁リストに掲載されている個人や団体への支払いは行いません。

これらの本人確認要件により、当方では当初の通報者本人とのみ直接対応させていただきます。また、当方では当初の通報に記載されたメールアドレスのみを使用いたしますので、最初の通報時に使用したメールアカウントに引き続きアクセスできることをご確認ください。

その他の法的告知

当社の弁護士より、以下の注意事項を明記するよう求められています：

本脆弱性報奨プログラムにおけるセキュリティ調査を行う目的のみに限り、WithSecureクライアントの逆アセンブルおよび逆コンパイルを行うことができます。この許可は、本脆弱性報奨プログラムにおいて明示的に指定・記載されているWithSecureクライアントにのみ適用され、そこに含まれるライセンス供与されたサードパーティ製コンポーネントは対象外となります。本許可に基づき導き出されたコードまたはその一部を、いかなる形式であれ、第三者に開示、提示、または公開してはなりません。

報酬の支払いに使用される個人データ記録の説明はこちらでご覧いただけます。

WithSecureは、事前の通知なしにいつでも本報奨プログラムを終了し、その規約を変更する権利を留保します。本文は2022年12月22日に最終更新されました。本規約において特に延長が明記されていない限り、現在の脆弱性報奨プログラムは2026年6月30日に終了します。報奨金の支払いに関するすべての決定は最終的なものです。本報奨プログラムの規約およびそれに関連するいかなる連絡も、WithSecureに対していかなる種類の義務も課すものではなく、またそのような義務を暗示するものでもありません。

特典

報奨金の額は、当社の技術スタッフで構成されるWithSecureチームが単独で決定し、その脆弱性がもたらすと推定されるリスクに基づいて決定されます。現在の報奨金の範囲は500ユーロから18,000ユーロです。

サービスの異なる部分（例：異なるノードやプラットフォーム上で実行されている同一のコード）に重複して存在する複数の問題を報告された場合、またはそれらがより大規模な問題の一部である場合、これらは1件に統合され、報酬は1回のみ支払われることがあります。

以下の表は、いくつかのバグの種類とそれに対応する報奨金を示したものです。このリストにはすべてのバグの種類が網羅されているわけではありませんが、以下の例をご覧いただければ、深刻度と報奨金の関係についてお分かりいただけるでしょう。