脆弱性報奨金制度

サイボウズ脆弱性報奨金制度

2014年6月、脆弱性報奨金制度がスタートしました。弊社パッケージ製品・クラウドサービスの脆弱性を発見し報告いただいた方に謝礼として報奨金をお支払いします。報奨金は1件あたり上限1,000,000円です。本番環境への影響を考慮いただくことなく、安全に検証いただくため、「脆弱性検証環境提供プログラム」を用意しました。脆弱性を発見した方のご報告はこちらから お願いします。

Cybozu BugBounty English page

開催概要

開催目的

脆弱性報奨金制度は、サイボウズが提供するサービスに存在するゼロデイ脆弱性を早期に発見し改修することを目的とする制度です。

---

報奨金制度の実施期間

2019年4月20日（土）〜 2019年12月18日（水）

脆弱性と認定されたご報告に対して、報奨金制度に応じた金額をお伝えする期間です。
実施期間外に脆弱性情報をお寄せいただいた場合は翌年度の報奨金制度の対象になります。

---

脆弱性を報告いただく期間

脆弱性情報は随時受け付けております。

---

参加条件

以下の条件を満たした方は、どなたでも参加いただけます。

• サイボウズおよびサイボウズの子会社の従業員ではないこと
• 日本語または英語でCy-PSIRTとコミュニケーションできること
• 検証環境にアクセスするための機材を用意できること。利用する機材に制限はありません。
• 規約 に同意いただけること

---

ご参加の流れ

1. 脆弱性検証環境提供プログラムお申し込み
   ※必要に応じて
2. 検証
3. ご報告
4. 評価
5. お支払い

対象となる製品・サービスおよびホームページ

製品・サービス

クラウドサービス

• cybozu.com 共通管理
• クラウド版 サイボウズ Office
• クラウド版 Garoon
• kintone（本体）
• クラウド版 メールワイズ
• セキュアアクセス
• cybozu.com Store
• cybozu.com 運用基盤

パッケージ製品

• サイボウズ Office 10
• サイボウズ メールワイズ 5
• Garoon 4
• 全文検索サーバー 2.0

モバイルサービス

• サイボウズ KUNAI
• kintone モバイル
• メールワイズ モバイル
• サイボウズ Office 新着通知

周辺サービス

• Garoon API
• kintone API（REST API / JavaScript API）
• User API
• kintone アプリストア
• サイボウズ リモートサービス
• Cybozu Desktop 2

本番環境(お客様にご利用いただいている環境)の脆弱性検証について

本番環境を利用した脆弱性検証は実施いただくことはできません。他のお客様のご迷惑になるような行為は行わないでください。
サービスの運用に支障を来たすような場合には、検証実施者の方に事前のご連絡をすることなく、アクセスの遮断等の措置を行う場合があります。

脆弱性検証を禁止している環境

• (サブドメイン).cybozu.com
• (サブドメイン).kintone.com
• (サブドメイン).cybozu.cn

ドメイン名が「co.jp」のホームページおよび対象外のサイトを利用した脆弱性検証は実施いただくことができません。

---

ホームページ

※ドメイン名が「cybozu.com」「kintone.com」「cybozu.cn」を対象としております。

サービス紹介ホームページ
製品ホームページ	https://www.cybozu.com
	https://www.kintone.com

関連ホームページ
ヘルプサイト	https://help.kintone.com
	https://help.cybozu.cn
cybozu.com 稼働状況	https://status.cybozu.com
	https://status.kintone.com
Cybozu CDN	https://js.cybozu.com
	https://js.kintone.com
	https://js.cybozu.cn
その他	https://blog.kintone.com

ホームページの脆弱性検証について

ホームページ に記載した各サイトについて、脆弱性検証を実施いただくことが可能です。しかし、以下の注意事項に違反した検証の実施、他のお客様のご迷惑になるような行為は行わないでください。ホームページの運営に支障を来たすような場合には、検証実施者の方に事前のご連絡をすることなく、アクセスの遮断等の措置を行う場合があります。

1．負荷検証の禁止

環境に著しい負荷を与える検証手法については、実施しないでください。また、環境に負荷を与えることを目的とした検証は行わないでください。

2. 検証に利用するメールアドレスの指定

弊社ホームページに存在するフォームに対して検証を行う場合、 メールアドレスに「test@bugbounty.cybozu.xyz」を指定してください。

報奨金の計算方法

製品・サービス

9.0 ～ 10.0： × 5万円

7.0 ～ 8.9： × 3万円

0.0 ～ 6.9： × 1万円

特別報酬

脆弱性タイプ

6.9 以下の SQL インジェクション：計算結果 × 3倍

RCE：100万円(一律)

製品タイプ

kintone、cybozu.com 共通管理、cybozu.com 運用基盤 ：計算結果 × 5倍

Garoon：計算結果 × 2倍

詳細な計算方法は「報奨金制度ルールブック」をご覧ください。
なお、報告者が獲得した報奨金額は、ご本人様以外には開示いたしません。

CVSS v3 基本値とは？

CVSS は、情報システムの脆弱性に対するオープンで汎用的な評価手法で、脆弱性の深刻度を、「0.0」から「10.0」までの数値で表現します。詳細はこちら（IPAのサイト） をご覧ください。

---

ホームページ

1件 × 2万 ＝ 報奨金

RCE
1件 × 一律 100万 ＝ 報奨金

ホームページの問題はCGIやJavaScriptなどプログラムの脆弱性であってもCVSS v3では評価せず、「件数」単位で報奨金をお支払いします。対象となるホームページは上記「対象となる製品・サービスおよびホームページ」をご確認ください。

報奨金の寄付について

報告者は報奨金を獲得する代わりに、獲得した報奨金をサイボウズが指定する OSS コミュニティに寄付することが可能です。報告者が報奨金を寄付することを選択した場合、獲得した金額と同額をサイボウズが上乗せし、OSS コミュニティに寄付いたします。寄付に関する詳細なルールは「報奨金制度ルールブック」をご覧ください。

ご報告

Webフォームでのご報告

脆弱性情報のご報告フォーム

---

メールでのご報告

email：productsecurity@cybozu.co.jp
以下の内容を記載してください。

問い合わせ

本プログラムは、サイボウズ株式会社 PSIRT（Cy-PSIRT）が運営しています。本プログラムにおける全てのお問い合わせは、メールまたはWebフォームにて受け付けます。それ以外の方法によるお問い合わせは受付けません。

• Webフォーム

• email

  productsecurity@cybozu.co.jp

公式Twitterアカウント

毎週更新のランキングや報奨金制度に関する情報を発信しております。

• Cybozu BugBounty

制度の詳細

• 脆弱性報奨金制度規約
• 脆弱性報奨金制度 - 報奨金制度ルールブック
• 脆弱性認定ガイドライン

脆弱性検証環境提供プログラムについて

サービス品質の向上にご協力いただける方向けに、脆弱性検証環境提供プログラムを用意しております。

---

お申込み条件

• 参加規約にご同意いただけること
• 日本語または英語でコミュニケーションできること
• サイボウズおよびサイボウズの子会社の従業員ではないこと
• 検証環境にアクセスするための機材を用意できること。利用する機材に制限はありません。

---

検証対象サービス・製品一覧

クラウドサービス

脆弱性検証環境提供プログラムでは、本番環境とは回線およびサーバーを物理的に分離したシステムを提供いたします。本番環境への影響を考慮いただくことなく、安全に検証いただくことができます。

パッケージ製品

パッケージ版の検証を行う環境は、参加者のご自身で構築いただく必要があります。より詳細な検証を行うことを希望される参加者の方には、検証用のライセンスをご提供いたします。詳細はCy-PSIRT事務局（pentest@cybozu.co.jp）までお問い合わせください。

• サイボウズ Office 10
• サイボウズ ガルーン 4
• サイボウズ メールワイズ 5
• リモートサービス
• KUNAI

---

お申し込み・お問い合わせ

• ハッシュタグ

  #cypentest

• お問い合わせ先

  Cy-PSIRT事務局 pentest@cybozu.co.jp

検証環境提供プログラムへのお申し込み