脆弱性報奨金制度

サイボウズ脆弱性報奨金制度

2014年6月、脆弱性報奨金制度がスタートしました。弊社パッケージ製品・クラウドサービスの脆弱性を発見し報告いただいた方に謝礼として報奨金をお支払いします。報奨金は1件あたり1,000円から上限2,000,000円(1件の報告から複数の脆弱性が検出された場合の金額上限も最大2,000,000円。)です。本番環境への影響を考慮いただくことなく、安全に検証いただくため、「脆弱性検証環境提供プログラム」を用意しました。脆弱性を発見した方のご報告はこちらから お願いします。

Cybozu BugBounty English page

開催概要

開催目的

脆弱性報奨金制度は、サイボウズが提供するサービスに存在するゼロデイ脆弱性を早期に発見し改修することを目的とする制度です。

報奨金制度の実施期間

2018年4月9日(月)〜 2018年12月20日(木)

脆弱性と認定されたご報告に対して、報奨金制度に応じた金額をお伝えする期間です。
実施期間外に脆弱性情報をお寄せいただいた場合は翌年度の報奨金制度の対象になります。

脆弱性を報告いただく期間

脆弱性情報は随時受け付けております。

参加条件

以下の条件を満たした方は、どなたでも参加いただけます。

  • サイボウズおよび、サイボウズの子会社の従業員ではないこと
  • 日本語または、英語で Cy-SIRT とコミュニケーションできること
  • 検証環境にアクセスするための機材を用意できること。利用する機材に制限はありません。
  • 規約 に同意いただけること

ご参加の流れ

  1. 脆弱性検証環境提供プログラムお申し込み
    ※必要に応じて
  2. 検証
  3. ご報告
  4. 審査
  5. お支払

対象となる製品・サービス及びホームページ

製品・サービス

クラウドサービス
  • cybozu.com 管理と共通設定
  • サイボウズ Office クラウド版
  • Garoon on cybozu.com
  • kintone(サービス本体)
  • メールワイズ on cybozu.com
  • セキュアアクセス
  • cybozu.com Store
  • cybozu.com 運用基盤
パッケージ製品
  • サイボウズ Office 10
  • サイボウズ メールワイズ 5
  • サイボウズガルーン 4
  • サイボウズ 全文検索サーバー バージョン 2.0
モバイルサービス
  • サイボウズ KUNAI
  • サイボウズ リモートサービス
  • kintone android アプリ
  • kintone iPhone アプリ
  • サイボウズ office 新着通知
周辺サービス
  • Garoon API
  • kintone API(REST API / JavaScript API)
  • User API
  • kintone アプリストア
  • サイボウズ Desktop(Win 版、Mac 版)
本番環境(お客様にご利用いただいている環境)の脆弱性検証について

本番環境を利用した脆弱性検証は実施いただくことはできません。他のお客様のご迷惑になるような行為は行わないでください。
サービスの運用に支障を来たすような場合には、検証実施者の方に事前のご連絡をすることなく、アクセスの遮断等の措置を行う場合があります。

脆弱性検証を禁止している環境

  • (サブドメイン).cybozu.com
  • cybozulive.com
  • (サブドメイン).kintone.com
  • (サブドメイン).cybozu.cn

ホームページ

※ドメイン名が「cybozu.com」「kintone.com」「cybozu.cn」を対象としております。

サービス紹介ホームページ
製品ホームページ https://www.cybozu.com
https://www.kintone.com
関連ホームページ
ヘルプサイト https://help.kintone.com
https://help.cybozu.cn
cybozu.com 稼働状況 https://status.cybozu.com
https://status.kintone.com
Cybozu CDN https://js.cybozu.com
https://js.kintone.com
https://js.cybozu.cn
その他 https://blog.kintone.com
ホームページの脆弱性検証について

ホームページ に記載した各サイトについて、脆弱性検証を実施いただくことが可能です。しかし、以下の注意事項に違反した検証の実施、他のお客様のご迷惑になるような行為は行わないでください。ホームページの運営に支障を来たすような場合には、検証実施者の方に事前のご連絡をすることなく、アクセスの遮断等の措置を行う場合があります。

1.負荷検証の禁止

環境に著しい負荷を与える検証手法については、実施しないでください。また、環境に負荷を与えることを目的とした検証は行わないでください。

2. 検証に利用するメールアドレスの指定

弊社ホームページに存在するフォームに対して検証を行う場合、 メールアドレスに「pentester@cybozutest.co.jp」を指定してください。

報奨金の計算方法

製品・サービス

9.0 ~ 10.0: × 5万円

7.0 ~ 8.9: × 3万円

0.0 ~ 6.9: × 1万円

特別報酬

脆弱性タイプ

6.9 以下の SQL インジェクション:計算結果 × 3倍

RCE:100万円(一律)

製品タイプ

kintone、cybozu.com 共通管理と設定 :計算結果 × 5倍

Garoon、Office、メールワイズ :計算結果 × 2倍

1件の報告から複数の脆弱性が検出された場合の上限は200万円

詳細な報奨金の計算方法や2017年以降に追加された算出方法は「報奨金制度ルールブック」をご覧ください。

CVSS v3 基本値とは?

CVSS は、情報システムの脆弱性に対するオープンで汎用的な評価手法で、脆弱性の深刻度を、「0.0」から「10.0」までの数値で表現します。詳細はこちら(IPAのサイト) をご覧ください。

ホームページ

1件 × 2万 = 報奨金

RCE
1件 × 一律 100万 = 報奨金

ホームページの問題はCGIやJavaScriptなどプログラムの脆弱性であってもCVSS v3では評価せず、「件数」単位で報奨金をお支払いします。対象となるホームページは上記「対象となる製品・サービス及びホームページ」をご確認ください。

報奨金の寄付について

報告者は報奨金を獲得する代わりに、獲得した報奨金をサイボウズが指定する OSS コミュニティに寄付することが可能です。報告者が報奨金を寄付することを選択した場合、獲得した金額と同額をサイボウズが上乗せし、OSS コミュニティに寄付いたします。寄付に関する詳細なルールは「報奨金制度ルールブック」をご覧ください。

ご報告

Webフォームでのご報告

脆弱性情報のご報告フォーム

メールでのご報告

email:productsecurity@cybozu.co.jp
以下の内容を記載してください。

  • 【報奨金制度の参加要否】
    • 報奨金制度の規約に同意の上、報告する
    • 報奨金制度に参加せずに、報告する

      弊社では、脆弱性を発見し報告いただいた方に、報奨金をお支払いする「脆弱性報奨金制度」を実施しています。
      ※ 対象外製品の場合は脆弱性とは認定いたしません。報奨金のお支払いとはなりませんので、予めご了承ください。

  • 【お名前】(お名前を記載してください)
  • 【概要】(どのような問題が発生するかを、簡潔に記載してください)
  • 【脆弱性を確認した環境】(OS・ブラウザなど、再現環境を明確に記載してください)
  • 【再現手順】(詳細な再現手順を記載してください)

対象外のホームページにおけるセキュリティインシデントに関する情報をご連絡いただく場合には、以下の連絡先をご利用ください。
※ 対象外のホームページの場合は報奨金のお支払い対象外となりますので、予めご了承ください。

CSIRT記述書(Description)

問い合わせ

本プログラムは、サイボウズ株式会社 CSIRT(Cy-SIRT)が運営しています。本プログラムにおける全てのお問い合わせは、メールまたはWebフォームにて受け付けます。それ以外の方法によるお問い合わせは受付けません。

公式Twitterアカウント

毎週更新のランキングや報奨金制度に関する情報を発信しております。

制度の詳細

脆弱性検証環境提供プログラムについて

サービス品質の向上にご協力いただける方向けに、脆弱性検証環境提供プログラムを用意しております。

お申込み条件

  • 参加規約にご同意いただけること
  • 日本語または、英語でコミュニケーションできること
  • サイボウズおよび、サイボウズの子会社の従業員ではないこと
  • 検証環境にアクセスするための機材を用意できること。利用する機材に制限はありません。

検証対象サービス・製品一覧

クラウドサービス

脆弱性検証環境提供プログラムでは、本番環境とは回線およびサーバーを物理的に分離したシステムを提供いたします。本番環境への影響を考慮いただくことなく、安全に検証いただくことができます。

注意事項

検証環境提供プログラムでは、各サービスは「デバッグ用」の設定で稼働しています。「デバッグ用」の設定で稼働するサービスでは、エラーが発生した場合にエラーの詳細情報が画面に出力されるようになっています。弊社が「デバッグ用途」で利用するエラー画面の情報については、脆弱性の評価対象となりません。
また、環境に負荷を与える検証は実施しないでください。

パッケージ製品

パッケージ版の検証を行う環境は、参加者のご自身で構築いただく必要があります。より詳細な検証を行うことを希望される参加者の方には、検証用のライセンスをご提供いたします。詳細はCy-SIRT事務局(pentest@cybozu.co.jp)までお問い合わせください。

  • サイボウズ Office 10
  • サイボウズ ガルーン 4
  • サイボウズ メールワイズ 5
  • リモートサービス
  • KUNAI

お申し込み・お問い合わせ

検証環境提供プログラムへのお申し込み