バグ報奨金プログラム

FlowHuntバグ報奨金プログラムに参加し、セキュリティ脆弱性を責任を持って報告して、プラットフォームの安全維持に貢献することで報酬を獲得しましょう。

Security BugBounty Vulnerability Cybersecurity
脆弱性を報告する 詳細はこちら

FlowHunt は、すべてのユーザーの安全を最優先に考え、データセキュリティを非常に重要視しています。もしあなたがセキュリティ研究者で、サービスにセキュリティ脆弱性を発見した場合は、技術的な詳細を公開する前に非公開でご報告いただき、修正の機会を与えていただけると幸いです。

FlowHuntは脆弱性が報告された場合、本ページの内容に従い、セキュリティ研究者と連携します。報告内容を検証し、回答し、脆弱性の修正に取り組むことで、セキュリティとプライバシーへのコミットメントを果たします。責任を持って脆弱性を発見・報告された方に対して、法的措置やサービスの利用停止等は行いません。ただし、ポリシーに違反した場合には法的権利を留保します。

参加資格

バグ報奨金プログラムに参加するには、以下の条件を満たす必要があります:

  • 18歳以上であること
  • 現在または過去にFlowHuntの従業員・契約者、またはその近親者でないこと
  • 米国の制裁対象者、または米国による禁輸国の居住者でないこと
  • すべての適用法令および規則に従うこと
  • 責任ある開示の手順を守ること

報告方法

疑わしい脆弱性の詳細は、support@flowhunt.io 宛にFlowHuntセキュリティチームまでご連絡ください。明確な許可なく、このプロセス外で公に情報を開示しないようお願いいたします。

報告の品質要件

脆弱性報告には、次の内容を含めてください:

  • 概要:脆弱性の簡単な説明
  • 影響:潜在的なセキュリティ影響やビジネスリスク
  • 再現手順:詳細なステップバイステップの手順
  • 概念実証:脆弱性を示す証拠
  • 影響資産:具体的なURL、パラメータ、コンポーネント
  • 重大度評価:ご自身による重大度の評価
  • 緩和策の提案:推奨される修正案(任意)

複数の報告を同時に提出したい場合は、最も重要なものを1件だけ提出し、返信をお待ちください。

対応タイムライン

  • 受領確認:報告受領から5営業日以内
  • 初期評価:10営業日以内
  • 修正目標:有効な脆弱性は90日以内に対応
  • 進捗連絡:プロセス中も定期的に状況を連絡

報酬

当プログラムでは、顧客保護に貢献していただいたセキュリティ研究者への感謝として、脆弱性情報に対して報奨金を提供しています。

重大度の分類

重大な脆弱性($100):

  • リモートコード実行
  • データアクセスを伴うSQLインジェクション
  • 複数ユーザーに影響する認証バイパス
  • 管理者権限への権限昇格
  • アカウント完全乗っ取り

中程度の脆弱性($50):

  • 重大な影響を与えるクロスサイトスクリプティング(XSS)
  • 限定的なデータに対するアクセス制御バイパス
  • ファイルアクセスを伴うディレクトリトラバーサル
  • セッション管理の脆弱性
  • 単一ユーザーに影響する認証破壊

軽微な脆弱性(支払い対象外):

  • 軽微な情報漏洩
  • 現実的な攻撃経路のない自己XSS
  • レート制限の問題
  • 実際に悪用できないセキュリティヘッダーの欠如

支払い条件

  • 報奨金はPayPalのみで支払われます
  • バグハンターはPayPal請求書を発行・送付してください
  • 他の支払い方法は利用できません
  • 請求書受領後30日以内に支払い処理
  • 支払いは適用される税制に従います

脆弱性の最初の報告者のみが報奨金を受け取れます。重複報告は対象外です。

対象範囲

対象

テストは、あなた自身がアカウント所有者であるFlowHuntアカウント、または所有者から許可を受けたエージェントとしてのみ実施できます。例:yourdomain.flowhunt.io

対象資産:

  • *.flowhunt.io ドメインおよびサブドメイン
  • FlowHuntウェブアプリケーションおよびAPI
  • FlowHuntモバイルアプリケーション(該当する場合)

対象脆弱性タイプ:

  • リモートコマンド実行(RCE)
  • SQLインジェクション
  • 認証破壊
  • セッション管理不備
  • アクセス制御バイパス
  • クロスサイトスクリプティング(XSS)
  • オープンURLリダイレクト
  • ディレクトリトラバーサル
  • サーバーサイドリクエストフォージェリ(SSRF)
  • ビジネスロジックの欠陥

対象外

禁止事項:

  • ソーシャルエンジニアリング攻撃(フィッシング、ビッシング等)
  • FlowHunt施設への物理的攻撃や物理的アクセス
  • DoSやDDoS攻撃
  • スパム、大量メール、または自動化ツールによる攻撃
  • ネットワークレベルの攻撃やインフラのスキャン
  • ユーザー端末への物理的アクセスを要する攻撃
  • ブルートフォース攻撃やパスワードクラック
  • 許可のないアカウントでのテスト

対象外となる報告例:

  • 攻撃者が自分自身のアカウントにしか影響を与えられない場合
  • 管理者や特権ユーザーによるXSS
  • 現実的でないユーザー操作が必要な脆弱性
  • ユーザーが悪意あるソフトウェアをインストールしなければ発生しない問題
  • 悪用経路が明確でない理論上の脆弱性
  • セキュリティ影響のないコンテンツスプーフィング
  • 実害が証明できないレートリミットの欠如
  • 古いブラウザやプラットフォームのみで発生する問題

プログラムルール

テストガイドライン

  • 自分が所有する、または明確な許可を得たアカウントでのみテストを行ってください
  • 他ユーザーのデータへアクセス・変更・削除は行わないでください
  • サービスの中断やパフォーマンス低下を引き起こさないでください
  • 自動テストはサービス妨害を避ける範囲で実施してください
  • 修正前に脆弱性を公表しないでください
  • プライバシー侵害やデータ破壊を避けるよう善意で行動してください

セーフハーバー&法的保護

FlowHuntは以下を約束します:

  • このポリシーに従う研究者に対して法的措置をとりません
  • セキュリティ課題の理解・検証のため研究者と連携します
  • セキュリティへの有効な貢献を認めます
  • 研究者の許可なく身元を第三者に開示しません

研究者の方は以下をお守りください:

  • すべての適用法令・規則を順守してください
  • 脆弱性の実証に必要な範囲でのみデータへアクセスしてください
  • 脆弱性を善意かつ速やかに報告してください
  • 実証の範囲を超えて脆弱性を悪用しないでください

開示タイムライン

  • 即時:support@flowhunt.io への報告
  • 90日:初回報告から標準の開示タイムライン
  • 協調開示:双方合意後のみ公表
  • 緊急時:重大な脆弱性はタイムラインを短縮する場合あり

研究者は、初回報告から90日経過後、またはFlowHuntが修正完了を確認した時点のいずれか早い方で脆弱性を公表できます。協調開示を推奨しており、適切な時期の調整もご相談いただけます。

よくある質問

FlowHuntバグ報奨金プログラムとは何ですか?

バグ報奨金プログラムは、セキュリティ研究者がFlowHuntのソフトウェアの脆弱性を発見・報告し、適格かつ確認された報告に対して報酬を受け取ることができる取り組みです。

報奨金の金額はいくらですか?

ご質問にお答えする前に、当社のバグ報奨金ポリシーをご確認ください:重大な有効バグ:$100、中程度の有効バグ:$50、低リスク:支払い対象外となります。

どのように脆弱性を報告できますか?

疑わしい脆弱性の詳細を、できるだけ多くの情報を添えてFlowHuntセキュリティチーム(support@flowhunt.io)までご連絡ください。

重複した報告でも報酬はもらえますか?

いいえ。脆弱性を最初に報告した方のみが報酬を受け取れます。重複報告は報奨金の対象外です。

責任ある開示は必要ですか?

はい。脆弱性は修正されるまで、責任ある開示ポリシーに従い、非公開で報告する必要があります。

脆弱性を報告して報酬を獲得

FlowHuntのバグ報奨金プログラムにご参加いただき、脆弱性を報告して責任ある開示に対する報酬を受け取りましょう。

脆弱性を報告する 詳細はこちら