脆弱性報告制度
株式会社ミクシィは、お客様に安心してご利用いただけるサービスを提供するため、脆弱性に関する報告の重要性を認識しております。より安全なサービスの実現を目指し、脆弱性報告に対して、正当な対価をお支払いすることを目標に、脆弱性報告制度を開始しましたので、ご案内いたします。
概要
弊社のサービスにおいて、脆弱性を発見した場合に、窓口にご報告いただき、その重要度によって、報酬をお支払いする制度です。
対象
本制度は、株式会社ミクシィとその子会社がリリースした、ウェブアプリケーションおよびクライアントアプリケーションの脆弱性を対象とします。
ただし、次に該当する子会社は含まれません。
- 株式会社ミクシィ・リクルートメント
- 弊社が買収をおこなってから6ヶ月未満の会社
また、次に該当する脆弱性は含まれません。
- 既に公表されている脆弱性
- 弊社にとって既知の脆弱性
- 報告されてから修正が完了する前に公表された脆弱性
- 攻撃が成立する可能性が著しく低いと考えられる脆弱性
- 原理的に修正が不可能な脆弱性
- 本制度の期間外に報告された脆弱性
窓口
発見した脆弱性の詳細を、メールで bounty@mixi.co.jp までご報告ください。
報告者に関する情報の記入は任意です。
期間
2013/09/30 から 2014/03/31 まで。
報酬
脆弱性によって、直接的に起こりうる被害を基準に、弊社の裁量にて報酬額が決定され、修正が完了した後、相当額のギフト券をメールでお送りいたします。
報酬額を決定するための指標は、以下のとおりです。
- 脆弱性によって可能になるデータ操作(取得、削除など)
- 影響を受けるデータの範囲(全データ、重要なユーザデータなど)
- 影響を受けるデータの所有者(自分、自分以外)
- 影響を受けるユーザ数
- 攻撃が成立するために、ユーザの操作が必要か否か
- 攻撃が成立するために、攻撃用アプリケーションのインストールが必要か否か
脆弱性と報酬額の例を示します。
| リモートから、ウェブサーバ上で、任意のコードが実行可能 | 100万円 |
|---|---|
| SQLインジェクションによって、重要なユーザデータの取得、削除などが可能 | 50万円 |
| SQLインジェクションによって、重要なユーザデータの取得のみが可能 | 30万円 |
| アクセス制御の不備によって、重要なユーザデータの取得、削除などが可能 | 50万円 |
| XSSによって、重要なユーザデータの取得、削除などが可能(要ユーザ操作) | 12.5万円 |
| リモートから、クライアントアプリの権限で、任意のコードが実行可能(要ユーザ操作) | 12.5万円 |
| 攻撃用クライアントアプリから、脆弱性を持つクライアントアプリの権限で、任意のコードが実行可能 | 5万円 |
| 変更できるべきではない、自分の重要なデータを変更し、チート行為が可能 | 10万円 |
その他
同一の脆弱性に対して、複数の報告があった場合、最も早く報告をおこなった報告者が、報酬を受け取る権利を有します。
複数の脆弱性が報告されたとき、脆弱性の性質から同種のものと判断できる場合は、1件の脆弱性として計上します。
サービスの運営に支障を与えたり、他のユーザが所有するデータにアクセスしない限りにおいて、脆弱性発見のための調査が可能です。
本制度は予告なく変更および終了することがあります。