バグバウンティプログラム。 脆弱性を見つけて、報奨金を獲得。

ルール

基本ルール

• 慎重にテストしてください：サービスを中断させたり、自動スキャンツールを使用しないでください。
• 自分のテストアカウントのみを使用してください。他のユーザーのアカウントにアクセスしようとしないでください。
• 内部システムへのアクセスを取得した場合は、直ちにお知らせください。
• 問題が解決されるまで、発見事項を機密に保ってください。
• 特定の脆弱性を最初に報告した方のみが報奨金を受け取ります。

スコープ

対象とする脆弱性

実際のセキュリティリスクを表す発見に報奨金を提供します。重大な問題ほど高い報奨金が支払われます：

• 他のユーザーのデータへの不正アクセス（アカウントの存在確認のみは対象外）。
• APIセキュリティコントロールのバイパス（例：レート制限の回避、認証バイパス）。
• クロスサイトスクリプティング（XSS）脆弱性。
• サーバーでのリモートコード実行。
• SQLインジェクションまたはその他のインジェクション攻撃。
• 認証またはセッション管理の欠陥。

ユーザーやデータに害を及ぼす可能性のあるセキュリティ脆弱性のみを対象とし、外観上のバグや壊れた機能は対象外です。

対象外

報奨金の対象外

• サービス拒否（DoS/DDoS）攻撃またはブルートフォース攻撃。
• 混合コンテンツの問題やSSL設定の問題。
• ソーシャルエンジニアリングやフィッシング攻撃。
• 動作する概念実証のない理論的な脆弱性。
• セキュリティヘッダーの欠如や標準的なハードニング設定（例：パスワードポリシー、メール認証）。
• 管理外のサードパーティサービスや依存関係の脆弱性。

報奨金

支払い方法

脆弱性が重大であるほど、報奨金は高くなります。固定の上限はありません。特に深刻または巧妙なものを発見された場合、それに応じた報奨金をお支払いします。金額は脆弱性の潜在的影響に基づいて決定されます。

支払いは脆弱性の検証と解決後、PayPalを通じてUSDで行われます。PayPalの標準手数料が適用されます。

報告

報告方法