報奨金獲得に関するガイドライン

Copyright (C) Cybozu,Inc.

脆弱性報奨金制度 – ルールブック補足資料

1

目的

•サイボウズの脆弱性報奨金制度において、報奨金の獲得ルールを明確にすることを目的とした補足資料です。

•サイボウズの脆弱性報奨金制度の詳細は、以下のホームページをご覧ください。• https://cybozu.co.jp/products/bug-bounty/pdf/rules.pdf

Copyright (C) Cybozu,Inc. 2

用語（１）

•脆弱性• コンピュータのオペレーティングシステム（OS）、各種ソフトウェア、オンラインサービスにおける悪用可能な弱点（ISO/IEC 29147 より引用）

•報告者• サイボウズ製品の脆弱性を発見し、サイボウズに報告する方

•脆弱性情報• 報告者がサイボウズに対して連絡した脆弱性の情報

Copyright (C) Cybozu,Inc. 3

用語（２）

•脆弱性情報の受付• 報告者の方からいただいた脆弱性情報を受け付けること

•脆弱性の認定• 報告者の方からいただいた脆弱性情報を、サイボウズが脆弱性として認定すること

• 脆弱性情報が脆弱性として認定された場合、報告者は報奨金を獲得できます

Copyright (C) Cybozu,Inc. 4

用語（３）

•脆弱性情報の評価期間

Copyright (C) Cybozu,Inc.

受付時間 認定時間

脆弱性情報の評価期間

Cy-PSIRT が脆弱性情報を受付してから、脆弱性を評価し認定するまでの時間を指します。

5

脆弱性報奨金制度

サービス・製品の品質を向上させるための施策

ゼロデイ攻撃を

防止

社外の協力者と

友好関係を構築顧客信頼度向上

社内で検出されていない未知の脆弱性を発見した善意の協力者の方に報奨金をお渡しする

http://cybozu.co.jp/company/security/bug-bounty/

Copyright (C) Cybozu,Inc. 6

対象製品・サービス（１）

•クラウドサービス• cybozu.com 管理と共通設定• サイボウズ Office クラウド版• Garoon on cybozu.com• kintone（サービス本体）• メールワイズ on cybozu.com• セキュアアクセス• cybozu.com Store• サイボウズ Live• cybozu.com 運用基盤

Copyright (C) Cybozu,Inc.

• パッケージ製品• サイボウズ Office 10• サイボウズ メールワイズ 5• サイボウズガルーン 4• サイボウズ 全文検索サーバーバージョン 2.0

7

対象製品・サービス（２）

•モバイルサービス• サイボウズ KUNAI• サイボウズ リモートサービス• kintone android アプリ• kintone iPhone アプリ• サイボウズ Office 新着通知• サイボウズ Live Timeline

Copyright (C) Cybozu,Inc.

• 周辺サービス• Garoon API• kintone API（REST API / JavaScript API）

• User API• kintone アプリストア

(kintone サービス内リンク)• Cybozu Desktop 2

8

対象ホームページ

•サービス紹介ホームページ• 製品ホームページ（https://www.cybozu.com /

https://www.kintone.com ）

• kintone（https://kintone.cybozu.com）

• Mailwise（https://mailwise.cybozu.com）

•関連ホームページ• ヘルプサイト（https://help.cybozu.com / https://help.kintone.com / https://help.cybozu.cn ）

• cybozu.com 稼働状況（https://status.cybozu.com / https://status.kintone.com ）

• 不具合情報公開サイト（https://support.cybozu.com）

• Cybozu CDN（https://js.cybozu.com / https://js.kintone.com / https://js.cybozu.cn ）

Copyright (C) Cybozu,Inc. 9

基本ルール（製品・サービスの脆弱性）

Copyright (C) Cybozu,Inc.

深刻度 CVSS v3 基本値 報奨金獲得額

緊急（Critical） 9.0 ～ 10.0 CVSS v3 基本値 × ¥50,000-

重要（High） 7.0 ～ 8.9 CVSS v3 基本値× ¥30,000-

警告（Middle） 4.0 ～ 6.9 CVSS v3 基本値× ¥10,000-

(※)注意（Low） 0.1 ～ 3.9

なし 0 報奨金無し

※特別ルールCVSS v3 基本値が 6.9 以下の SQL インジェクションは、CVSS v3 基本値× ¥30,000-

10

基本ルール（ホームページの問題）

•一律 ¥10,000- をお支払いします

Copyright (C) Cybozu,Inc. 11

報奨金の寄付について

報告者は報奨金をサイボウズが指定する OSS コミュニティに寄付することが可能です。この場合、報告者が獲得した報奨金と同額をサイボウズが上乗せしてコミュニティに寄付します。

Copyright (C) Cybozu,Inc.

報告者サイボウズ

報告者

A 社

B 社

C 社

12

サイボウズが指定する寄付先のリスト

寄付先のご指定が無い場合 Apache Software Foundation に

サイボウズから寄付いたします。Copyright (C) Cybozu,Inc.

Apache Software Foundation

• https://www.apache.org/foundation/contributing.html

Linux Foundation

• https://www.linuxfoundation.org/participate/linux-donate

日本にある OWASP Local Chapter

• OWASP Japan / OWASP Kansai / OWASP Kyushu / OWASP Sendai

既定

13

報奨金獲得までの流れ

Copyright (C) Cybozu,Inc.

報告

受付連絡

評価連絡評価

改修謝辞掲載

報奨金振り込み

報告者 サイボウズ

お支払金額連絡

金額の承諾

14

報告

•以下のいずれかをご利用ください• 専用の Web フォーム

• 脆弱性報告用のメールアドレス• productsecurity@cybozu.co.jp （PGP 鍵はこちらにあります）

Copyright (C) Cybozu,Inc. 15

受付連絡・評価連絡

Copyright (C) Cybozu,Inc.

•お問い合わせごとに、固有の対応番号を

ご連絡します（例：CPS-●●●）

•報告後 1 週間以内にご連絡します

受付連絡

• 脆弱性が Cy-PSIRT に認定された場合、固有の脆弱性

識別番号をご連絡します（例：CyVDB-●●●）

• 評価が完了次第、評価結果を連絡します

評価連絡

16

対応番号と識別番号

Copyright (C) Cybozu,Inc.

対応番号

脆弱性識別番号

脆弱性として認定した後に、クローズします。

脆弱性を一意に識別するために利用します。脆弱性情報を公開し、報奨金をお振込み次第クローズします。

17

謝辞掲載

•脆弱性を改修し、脆弱性情報を公開次第、報告者の方のお名前を、Web ページ に掲載いたします。

•掲載完了後、メールにてご連絡いたします。

Copyright (C) Cybozu,Inc. 18

報奨金振り込み

•サイボウズでは脆弱性の認定後、情報公開までに４～１０か月程度のお時間をいただいています。• 報奨金の獲得対象となる脆弱性について、月に１回サイボウズから報告者の方にご連絡します

Copyright (C) Cybozu,Inc.

４ ～ 10 か月

19

報奨金の獲得方法について（１）

報告者の方は、その月に獲得した報奨金について「報奨金を獲得する」か「寄付先のリストから１社に寄付する」か選択できます。

Copyright (C) Cybozu,Inc.

報告者 サイボウズA 社

脆弱性 A

脆弱性 B

脆弱性 A

脆弱性 B

脆弱性 A

脆弱性 B

OR

20

報奨金の獲得方法について（２）

Copyright (C) Cybozu,Inc.

報告者 サイボウズ A 社

脆弱性 B

特定の脆弱性ごとに、「報奨金の獲得」と「寄付」を組み合わせることはできません。

脆弱性 B

脆弱性 A

21

報奨金の獲得方法について（３）

Copyright (C) Cybozu,Inc.

B 社

脆弱性 B

A 社

脆弱性 A

報告者 サイボウズ

脆弱性 A

脆弱性 B

特定の脆弱性ごとに、複数の寄付先を選択することはできません。

22

報奨金の獲得方法について（４）

Copyright (C) Cybozu,Inc.

報奨金額は、お支払い連絡に了承いただいた時点で確定します。

← 金額確定

23

報奨金の振り込み時期

•報告者が報告した脆弱性情報が、以下のいずれかの条件を満たした場合、条件を満たした月の「翌月」最終営業日に報奨金を現金でお振込みします。• サイボウズが脆弱性情報を一般に公開した

• サイボウズが脆弱性情報を脆弱性として認定後、6 か月を経過した時点で、脆弱性情報が公開されていない

Copyright (C) Cybozu,Inc.

２０１５年3 月 31 日認定

２０１５年3 月 12 日報告

２０１５年9 月 30 日6 か月経過

２０１５年10 月 30 日報奨金振込み

未公開

例

24

報奨金の獲得に関する詳細なルール

•報告者の方から寄付する旨ご連絡を受けたのち、２か月以内に報告者の方が指定した団体にサイボウズが寄付いたします。• 寄付者の名義は「サイボウズ株式会社」となります。

•寄付が完了した時点で、報告者の方にサイボウズからご連絡いたします。

•税制上の優遇処置などのために、書面を発行するなどの業務はお受けできません。• 日本国内の方の場合、今回の寄付先は税制優遇処置を受けることが出来ない団体であることを確認いたしております。

Copyright (C) Cybozu,Inc. 25

脆弱性の報告ケースと報奨金額

• 調査の結果複数の脆弱性が確認された• 報告いただいた脆弱性情報が同一、または、類似の脆弱性だった• 類似した脆弱性情報を追加で報告いただいた• 認定した脆弱性が、調査の結果評価が変更された• 認定した脆弱性が、調査の結果脆弱性ではないと判断された• 動作環境ではないブラウザで再現する脆弱性を報告いただいた• 報告いただいた脆弱性情報がサイボウズ製品で改修しないと判断された

• サイボウズのホームページで利用している WordPress の脆弱性を報告いただいた

• 製品内で利用しているサードパーティ製品の脆弱性を報告いただいた

Copyright (C) Cybozu,Inc. 26

調査の結果複数の脆弱性が確認された

Copyright (C) Cybozu,Inc.

報告いただいた脆弱性情報を元に複数の脆弱性をサイボウズが認定した場合、報告者は各脆弱性について、報奨金を獲得できます。この場合、報奨金の上限は 100 万円とします。報奨金制度の年毎にリセットいたします。

27

報告いただいた脆弱性情報が同一、または、類似の脆弱性だった

Copyright (C) Cybozu,Inc.

同一製品で同一、または、類似の脆弱性情報を報告いただいた場合、１件の脆弱性として取り扱います。報告者は脆弱性の評価結果に応じた報奨金を獲得します。例を記載いたしますが、これらに限りません。

28

同一要因の脆弱性に関する補足

•同一要因の脆弱性の例• パラメータから入力した場合と、ハッシュから入力した場合の双方で脆弱性が顕在化する

• １つのメソッド内の別のパラメータがエスケープされておらず、脆弱性が顕在化する

• 同一のサーバーで稼働しているホームページで、環境設定に起因する脆弱性が顕在化した場合

•例外規定• 同一要因の脆弱性でも、製品が異なる場合にはこの規則を適用しない

Copyright (C) Cybozu,Inc. 29

類似した脆弱性に関する補足

•類似した脆弱性の例• 同一のロジックが別の処理で利用され、複数の箇所で脆弱性が顕在化する

• 同種のパラメータや DOM 属性 などを用いる別のロジックで、脆弱性が顕在化する

•例外規定• 類似した脆弱性でも、製品が異なる場合にはこの規則を適用しない

Copyright (C) Cybozu,Inc. 30

類似した脆弱性情報を追加で報告いただいた

Copyright (C) Cybozu,Inc.

これまでに報告いただいた脆弱性情報について、追加で脆弱性情報を報告いただいた際に、サイボウズが類似の脆弱性と判断した場合、報告者は報奨金を獲得できません。

31

認定した脆弱性が、調査の結果評価が変更された

Copyright (C) Cybozu,Inc.

一度認定された脆弱性情報が、調査の結果評価結果が変更された場合、変更後の評価内容に応じて報奨金をお支払いします。

4.0

5.0

32

認定した脆弱性情報が、調査の結果脆弱性ではないと判断された

Copyright (C) Cybozu,Inc.

一度認定された脆弱性情報が、調査の結果脆弱性では無いと判断された場合、一律 ¥20,000- をお支払いします。ただし報奨金額が ¥20,000- に達していない脆弱性の場合、認定時の金額をお支払いします。

5.0

0.0

33

動作環境ではないブラウザで再現する脆弱性を報告いただいた

Copyright (C) Cybozu,Inc.

動作環境ではないブラウザによって被害が及ぶ脆弱性を報告いただいた場合、報告者は報奨金を獲得することはできません。動作環境のブラウザにつきましては、各製品のホームページをご覧ください。

34

報告いただいた脆弱性情報がサイボウズ製品で改修しないと判断された

Copyright (C) Cybozu,Inc.

一度認定された脆弱性情報が、改修しないと判断された場合、改修しないと決定した時点で、認定時の評価内容に応じて報奨金をお支払いします。

5.0

35

サイボウズのホームページで利用しているWordPress の脆弱性を報告いただいた

Copyright (C) Cybozu,Inc.

セキュリティアップデートの情報を含む WordPress の脆弱性が公開された場合、サイボウズでの影響の確認及び改修期間を 2 週間といたします。以降に影響がある未知の脆弱性のみを認定し、報奨金をお支払いします。

未知の脆弱性のみ認定

期間以前・期間中

期間以降

36

製品内で利用しているサードパーティ製品の脆弱性を報告いただいた

Copyright (C) Cybozu,Inc.

セキュリティアップデートの情報を含むサードパーティの脆弱性が公開された場合、緊急度に応じて都度システムを更新いたします。更新以降に影響がある未知の脆弱性のみを認定し、認定時の評価内容に応じて報奨金をお支払いします。

更新以前・更新中

更新以降

37

未知の脆弱性のみ認定

複数の報告者からの報告に関するルール

•基本ルール

•脆弱性情報を同時に報告いただいた

•既知の脆弱性情報を報告いただいた

•類似した脆弱性を別の方から追加で報告いただいた

•公開済みの脆弱性情報を報告いただいた

Copyright (C) Cybozu,Inc. 38

基本ルール

Copyright (C) Cybozu,Inc.

さんの受付時間 さんの認定時間

脆弱性情報の評価期間

さんの受付時間

脆弱性情報の評価期間中に報告いただいた全ての報告者の方が報奨金を獲得することができます。脆弱性情報の評価期間が完了後に報告いただいた報告者の方は報奨金を獲得できません。

さんの受付時間

39

脆弱性情報を同時に報告いただいた

Copyright (C) Cybozu,Inc.

サイボウズが脆弱性情報を受付し、評価をする間に別の方から類似したまたは、同一要因の脆弱性情報を報告いただいた場合、いずれかの脆弱性情報を脆弱性として認定し、報告者は報奨金を満額で獲得します。残りの報告者の方は報奨金の 20 % を獲得します。

¥20,000-

¥100,000-

40

既知の脆弱性情報を報告いただいた

Copyright (C) Cybozu,Inc.

これまでに報告いただいた脆弱性情報について、別の方から既知の脆弱性情報をご報告いただいた場合、報奨金をお支払いいたしません。

認定

41

既知の脆弱性情報

Copyright (C) Cybozu,Inc.

サイボウズが脆弱性として認定してから、未公開の状態にある脆弱性情報のことです。

既知の脆弱性を報告いただいた方は、報奨金をお支払いいたしませんが、報告者の方に許可いただける場合には、弊社ホームページにお名前を掲載いたします。

42

公開済みの脆弱性情報を報告いただいた

Copyright (C) Cybozu,Inc.

既に公開されている脆弱性情報について報告いただいた場合、報告者は報奨金を獲得することができません。

公開

43

更新履歴(１)

更新日 版 変更内容

2014-06-19 初版

2014-07-22 第２版 • 対象製品・サービスを明記• 動作環境ではないブラウザで再現する脆弱性に関して追記

2015-02-02 第３版 • 2015 年追加ルールを記載• 対象製品・サービスを変更内容を反映• 報奨金獲得までの流れを追記• 類似した脆弱性に関する説明を追記• 図の修正

2015-06-15 第４版 • 寄付に関するルールを追加• 対象製品にサイボウズ Live , cybozu.com 運用基盤を追加

2016-02-01 第５版 • 報奨金獲得ルールを変更• 対象製品にサイボウズ Live , cybozu.com 運用基盤を追加• 寄付先に「OWASP Sendai」を追加

Copyright (C) Cybozu,Inc. 44

更新履歴(２)

Copyright (C) Cybozu,Inc.

更新日 版 変更内容

2016-10-27 第６版 • 対象製品からネット連携サービスを削除

2017-03-01 第７版 • フローへ「お支払金額連絡」、「金額の了承」の追加• HPの画像をリニューアル後の画像変更• 「報奨金獲得方法について(４)」を追加• 「脆弱性の認定と報奨金」を「脆弱性の報告ケースと報奨金額」へ変更• 「報告いただいた脆弱性情報がサイボウズ製品で改修しないと判断され

た」ケースの追加• 同一の脆弱性、類似の脆弱性に関する記載をまとめました

2017-06-01 第 8 版 • 「脆弱性の報告ケースと報奨金額」ケースを追加• 「サイボウズのホームページで利用している WordPress の脆弱性を報告

いただいた」を追加• 「製品内で利用しているサードパーティ製品の脆弱性を報告いただいた」

を追加

45

更新履歴(3)

更新日 版 変更内容

2017-06-26 第7版 • 報告いただいた調査結果により複数の脆弱性を認定は年度ごとに金額リセットする旨追記

• 取り下げられた脆弱性に関する情報を追記• 動作環境ではないブラウザによって被害が及ぶ脆弱性に表現を変更• WordPressの脆弱性に関する記載の修正• 類似した脆弱性を別の方から追加で報告いただいた場合を削除

Copyright (C) Cybozu,Inc. 46