脆弱性報奨金制度

サイボウズ脆弱性報奨金制度

2014年6月、脆弱性報奨金制度がスタートしました。弊社パッケージ製品・クラウドサービスの脆弱性を発見し報告いただいた方に謝礼として報奨金をお支払いします。報奨金は1件あたり上限1,000,000円です。本番環境への影響を考慮いただくことなく、安全に検証いただくため、「脆弱性検証環境提供プログラム」を用意しました。脆弱性を発見した方のご報告はこちらから お願いします。

Cybozu BugBounty English page

開催概要

開催目的

脆弱性報奨金制度は、サイボウズが提供するサービスに存在するゼロデイ脆弱性を早期に発見し改修することを目的とする制度です。

---

報奨金制度の実施期間

2019年4月20日（土）〜 2019年12月18日（水）
※2019年度の受付は終了いたしました。

2019年度の受付は、12月18日（水） 17:00 までとなります。それ以降は、2020年度の報告となります。
また、以下のパッケージ製品と一部の周辺サービスが、2020年度の報奨金制度から対象外となります。

• - サイボウズ Office
• - サイボウズ メールワイズ
• - Garoon
• - 全文検索サーバー
• - サイボウズ リモートサービス

---

脆弱性を報告いただく期間

脆弱性情報は随時受け付けております。

---

参加条件

以下の条件を満たした方は、どなたでも参加いただけます。

• 報告時においてサイボウズまたはサイボウズの子会社の従業員ではないこと
• 報告時において業務委託契約、出向契約、派遣契約等の契約形態により、サイボウズまたはサイボウズの子会社の業務に従事していないこと
• 過去にサイボウズまたはサイボウズの子会社において正社員として雇用されていないこと
• 過去にサイボウズまたはサイボウズの子会社において製品開発及びクラウドサービスの運用関連の業務に従事していないこと
• 日本語または英語でCy-PSIRTとコミュニケーションできること
• 検証環境にアクセスするための機材を用意できること。利用する機材に制限はありません。
• 規約 に同意いただけること

---

ご参加の流れ

1. 脆弱性検証環境提供プログラムお申し込み
   ※必要に応じて
2. 検証
3. ご報告
4. 評価
5. お支払い

対象となる製品・サービスおよびホームページ

製品・サービス

クラウドサービス

• cybozu.com 共通管理
  ※お問い合わせ機能は除く
• クラウド版 サイボウズ Office
• クラウド版 Garoon
• kintone（本体）
• クラウド版 メールワイズ
• セキュアアクセス
• cybozu.com Store
• cybozu.com 運用基盤

モバイルサービス

• サイボウズ KUNAI
• kintone モバイル
• メールワイズ モバイル
• サイボウズ Office 新着通知

周辺サービス

• Garoon API
• kintone API（REST API / JavaScript API）
• User API
• kintone アプリストア
• Cybozu Desktop 2

プライベートプログラムについて

上記に記載の製品以外に一部の参加者に対し、限定製品への検証を許可する場合があります。
詳細は、対象の参加者にのみ個別に連絡いたします。対象の参加者以外には開示いたしませんのであらかじめご了承ください。

---

ホームページ

※ドメイン名が「cybozu.com」「kintone.com」「cybozu.cn」を対象としております。

サービス紹介ホームページ
製品ホームページ	https://www.cybozu.com
	https://www.kintone.com

関連ホームページ
ヘルプサイト	https://help.kintone.com
	https://help.cybozu.cn
cybozu.com 稼働状況	https://status.cybozu.com
	https://status.kintone.com
Cybozu CDN	https://js.cybozu.com
	https://js.kintone.com
	https://js.cybozu.cn
その他	https://blog.kintone.com

制限・禁止事項

下記の項目に反した検証の実施を検出した場合、その他適切な運用に支障が出ると弊社が判断した場合、検証実施者の方に事前のご連絡をすることなくアクセスの遮断等の措置を行い、今後の制度への参加を制限させていただく場合があります。詳細は 規約 の第６条 「制限・禁止事項」をご参照ください。

1．検証を禁止している環境

以下の環境を利用しての脆弱性検証は実施いただけません。

• (サブドメイン).cybozu.com
• (サブドメイン).kintone.com
• (サブドメイン).cybozu.cn
• ドメイン名が「cybozu.co.jp」のホームページおよび対象外のサイト
• https://cybozu.net

2. 検証を禁止している機能

cybozu.com 共通管理のお問い合わせ機能に対する脆弱性検証は実施いただけません。

3. 負荷検証の禁止

環境に著しい負荷を与える検証や環境に負荷を与えることを目的とした検証は実施いただけません。

報奨金の計算方法

製品・サービス

9.0 ～ 10.0： × 5万円

7.0 ～ 8.9： × 3万円

0.0 ～ 6.9： × 1万円

特別報酬

脆弱性タイプ

6.9 以下の SQL インジェクション：計算結果 × 3倍

RCE：100万円(一律)

製品タイプ

kintone、kintone モバイル、cybozu.com 共通管理、cybozu.com 運用基盤 ：計算結果 × 5倍

Garoon：計算結果 × 2倍

詳細な計算方法は「報奨金制度ルールブック」をご覧ください。
なお、報告者が獲得した報奨金額は、ご本人様以外には開示いたしません。

CVSS v3 基本値とは？

CVSS は、情報システムの脆弱性に対するオープンで汎用的な評価手法で、脆弱性の深刻度を、「0.0」から「10.0」までの数値で表現します。詳細はこちら（IPAのサイト） をご覧ください。

---

ホームページ

1件 × 2万 ＝ 報奨金

RCE
1件 × 一律 100万 ＝ 報奨金

ホームページの問題はCGIやJavaScriptなどプログラムの脆弱性であってもCVSS v3では評価せず、「件数」単位で報奨金をお支払いします。対象となるホームページは上記「対象となる製品・サービスおよびホームページ」をご確認ください。

報奨金の寄付について

報告者は報奨金を獲得する代わりに、獲得した報奨金をサイボウズが指定する OSS コミュニティに寄付することが可能です。報告者が報奨金を寄付することを選択した場合、獲得した金額と同額をサイボウズが上乗せし、OSS コミュニティに寄付いたします。寄付に関する詳細なルールは「報奨金制度ルールブック」をご覧ください。

ご報告

報告用サイトでのご連絡

脆弱性のご連絡

---

問い合わせ

本プログラムは、サイボウズ株式会社 PSIRT（Cy-PSIRT）が運営しています。本プログラムにおける脆弱性報告に関するお問い合わせは、報告用サイトにて受け付けます。その他お問い合わせはメールでも受け付けます。

• 報告用サイト

• email

  productsecurity@cybozu.co.jp

公式Twitterアカウント

毎週更新のランキングや報奨金制度に関する情報を発信しております。

• Cybozu BugBounty

制度の詳細

• 脆弱性報奨金制度規約
• 脆弱性報奨金制度 - 報奨金制度ルールブック
• 脆弱性認定ガイドライン

脆弱性検証環境提供プログラムについて

サービス品質の向上にご協力いただける方向けに、脆弱性検証環境提供プログラムを用意しております。

---

お申込み条件

• 参加規約にご同意いただけること
• 日本語または英語でコミュニケーションできること
• サイボウズおよびサイボウズの子会社の従業員ではないこと
• 検証環境にアクセスするための機材を用意できること。利用する機材に制限はありません。

---

検証対象サービス・製品一覧

クラウドサービス

脆弱性検証環境提供プログラムでは、本番環境とは回線およびサーバーを物理的に分離したシステムを提供いたします。本番環境への影響を考慮いただくことなく、安全に検証いただくことができます。

---

お申し込み・お問い合わせ

• ハッシュタグ

  #cypentest

• お問い合わせ先

  Cy-PSIRT事務局 pentest@cybozu.co.jp

検証環境提供プログラムへのお申し込み