脆弱性の開示

Vdoo のセキュリティ研究者および脆弱性報告者向けの開示ポリシー

このページは脆弱性報告用の窓口となります。Vdoo 製品およびその他デバイス製品、関連サーバーののセキュリティまたはプライバシーの問題をご報告いただくには、vuln@vdoo.com に脆弱性レポートをお送りください。コミュニケーション用の GPG パブリックキーはこのページの最下部にございます。

対象となる問題

Vdoo は自社の活動範囲に関連した脆弱性の報告を受け付けています。対象となる問題には次のようなものが含まれます。

  • Vdoo 製品の問題: Vdoo は自社の製品のセキュリティの確保と、他のベンダーによるセキュアな製品の開発および販売の支援に努めております。自社の製品にいてご報告いただいた脆弱性に関しては、Vdooが報告者またはご報告いただいた組織と協力し、直ちに検証・解決します。

  • デバイス製品の問題: Vdoo は、サーバーやモバイルアプリケーションなど、他のベンダーや関連エコシステムにより開発・実装されたデバイス製品を含むVdooの研究の取り組みの一環として、外部の研究者によるセキュリティの脆弱性の報告も責任をもってお手伝いいたします。Vdoo は CVE 番号の割り当てや、Vdoo ウェブサイトおよび NIST・MITRE ウェブサイトでの公式勧告により、研究者の方を支援できます。また、Vdooはベンダーによる責任のある開示も支援することができます。

Vdoo は、倫理的ハッキングと責任のある開示方法を実施している研究者とのみ協力しています。違法または悪質な行為は避け、他社のシステムやデータへの不正なアクセスや変更は行わず、製品およびユーザーのセキュリティとプライバシーを侵害する行為は行わないでください。

Vdoo の活動範囲外のベンダーに影響を与える問題に関しては、MITRE Corporation またはその他適切な CVE 管理機関にリクエストを転送します。

プライバシーまたはセキュリティに影響のない技術的な問題は、support@vdoo.com にお問い合わせください。

脆弱性レポートの提出

レポートでは次の情報をご提供ください。

  • 報告者: お名前、連絡先情報、所属団体。

  • 製品: ソフトウェア名、パッケージ、取得元の URL。

  • バージョン: 対象となるバージョンの範囲。

  • 説明: 脆弱性の内容と再現方法。なるべく詳細に、エクスプロイトのセットアップと実行方法のステップバイステップの手順を説明してください (スクリプトやコードのサンプルがあれば参考になります)。詳細な情報があれば脆弱性の確認が容易になるため、優先順位が高くなります。

  • 報告状況: 公開・非公開を問わず、対象となる脆弱性が他に報告されているか。報告されている場合は報告時期と報告先をお教えください。

報告者の詳細、脆弱性のタイプ (リモートコード実行など)、コードやバイナリーの該当箇所など、レポートの処理や報告者とのコミュニケーションに役立つその他の情報。フォローアップのための PGP キーや解決策・緩和方法の提案、レポートを非公開にするか、希望の開示タイムラインがあるかなど、開示に関するご希望などもお知らせください。

PGP または GPG でコミュニケーションを暗号化・署名することをお勧めしておりますが、必須ではございません。

返答のタイムライン

  • 初期の返答: Vdoo はレポートの受付後 48 時間以内に初回の受付確認の返答をいたします。

  • 開示の審査: Vdoo の脆弱性研究チームが 1 週間以内にレポートを確認し、内容の確認が取れた旨を伝えるか、追加情報を要請する、またはレポートを却下 (情報が不十分であったり確認が取れなかった、または脆弱性が既に Vdoo あるいは一般に開示されている場合など) する返答をお送りします。

  • ベンダーへの連絡: Vdoo は脆弱性に関する十分な情報が得られ次第、影響のあるベンダーに 72 時間以内に連絡します。

  • CVE 番号の取得: Vdoo は、脆弱性を非公開にする理由がない限り、脆弱性に関する十分な情報が得られ次第 72 時間以内に CVE 番号の取得も行います。

  • 一般開示: Vdooはすべてのケースにおいてベンダーからの同意が得られるよう努めています。また、開示のタイムラインはベンダーの能力やシステムのパッチの難易度を考慮し、ケースバイケースで定めるようにしています。しかし、報告者がベンダーの同意なしに脆弱性の開示を希望する場合は、120 日間の猶予期間を推奨しています。Vdoo は主にデバイスデバイスを扱っているため、この期間が脆弱性の報告者による開示のニーズを尊重しつつ、ベンダーによるリモートでインストールされているデバイスのテストとパッチのリリースに必要な適切な期間であると考えています。

Vdooが作成する CVE に関しては、Vdoo は CVE 情報をVdooのVdooが発見したCVEページで同意された猶予期間後に公開します。Vdoo により以前開示された CVE に関しては、同ページをご覧ください。

GPG パブリックキー