San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
San Antonio API Security Summit 2025 に参加しよう!
閉じる
プライバシー設定
ウェブサイト運営に必要なCookieや類似技術を使用しています。追加のCookieは貴社の同意がある場合のみ利用されます。同意は「Agree」をクリックすることでいただけます。どのデータが収集され、どのようにパートナーと共有されているかの詳細は、Cookieポリシープライバシーポリシーをご確認ください。
Cookieは、貴社デバイスの特性や、IPアドレス、閲覧履歴、位置情報、固有識別子などの特定の個人情報を取得、解析、保存するために使用されます。これらのデータは様々な目的で利用されます。分析Cookieによりパフォーマンスを評価し、オンライン体験やキャンペーンの効果向上に役立てます。パーソナライズCookieは、利用状況に応じた情報やサポートを通じ、貴社専用の体験を提供します。広告Cookieは、第三者が貴社のデータをもとにオーディエンスリストを作成し、ソーシャルメディアやネット上でのターゲット広告に使用します。貴社は各ページ下部のリンクから、いつでも同意の許可、拒否、または撤回が可能です。
ご送信ありがとうございます。内容を受け付けました。
申し訳ありません。フォーム送信時にエラーが発生しました。

Wallarm セキュリティバグバウンティプログラム

はじめに

ソフトウェアセキュリティリサーチャーは、インターネット企業の脆弱性を発見するためにますます積極的に活動しています。本バウンティプログラムは、そうしたリサーチャーを称え、重大な脆弱性に対して300ドル以上の報酬を提供しています。

以下に、ルール、対象範囲、報告要件をまとめました。
ハッキングをお楽しみください!

開始する前に

  • セキュリティバグバウンティプログラムの対象ドメインと、開始に役立つターゲットのリストを確認してください。すべてのWallarmアプリテストは、専用インスタンス https://audit.my.wallarm.com/ で行ってください。
  • 対象外のバグリストを確認してください。対象外の報告は「Not Applicable」としてクローズされる場合があります。
  • 最近リリースされた機能についてはWallarm Changelogをご覧ください。
  • ソーシャルエンジニアリング、フィッシング、従業員やユーザーへの物理的な攻撃など、技術的でないアプローチは行わないでください。
  • 迷った場合はsecurity@wallarm.comへお問い合わせください。

本プログラム(「プログラム」)に参加することで、Wallarmの利用規約および以下の条件に同意したものとみなします:

  • キューバ、イラン、北朝鮮、スーダン、シリアなど、米国が制裁や貿易規制を行っている国からの参加ではありません。
  • 現在Wallarmの従業員または契約者ではなく、過去6ヶ月以内に従業員・契約者でなかったこと、およびそれらの人と協力していないこと。
  • プログラムへの参加が貴社に適用される法律に違反せず、自分が所有していないデータを混乱させたり侵害しないこと。
  • プログラムへの参加や報酬に関して発生する税金や源泉徴収などは、すべて自己責任で処理すること。
  • Wallarmは、独自の裁量で本プログラムを終了または中止する権利を有します。
  • Wallarmが運営しプログラムの対象範囲内にあるサイトのみをテストしてください。wallarm.comのサブドメインでも第三者が運営している場合があり、そのようなサイトはテスト対象外です。

法的セーフハーバー

貴社の研究は、Wallarmセキュリティバグバウンティプログラムの法的セーフハーバーポリシーにより保護されます。要旨は次のとおりです:

  • 本ポリシーに則ったセキュリティ調査・脆弱性開示は、Computer Fraud and Abuse Act、DMCA、その他適用されるコンピューター使用法(例: カリフォルニア刑法502(c))において「許可された」行為とみなします。また、このプログラムの対象となるアプリケーション保護のために使用される技術的措置を回避したことに対するDMCAの主張を放棄します。
  • Wallarmは責任ある開示を望んでおり、善意でバグバウンティポリシーに従おうとするリサーチャーが法的な不安を感じることがないようにしたいと考えています。ただし第三者を拘束することはできませんので、第三者への行為がポリシー範囲を超える場合は事前にお問い合わせください。
  • 識別情報と非識別情報の双方がリサーチャーをリスクにさらす場合があるため、第三者に提供する情報は制限しています。影響を受ける第三者に詳細を伝える場合は、事前にリサーチャーに通知し、法的措置を取らないとの確約を得たうえで非識別の情報を提供します。識別情報(氏名、メールアドレス、電話番号など)は書面でリサーチャーが許可した場合のみ共有します。
  • プログラムにおけるセキュリティリサーチがWallarmのサービスポリシーの特定の制限に違反した場合でも、セーフハーバー条件によって限定的に免除される場合があります。

調査の実施

テストによって他のユーザーに影響を与えないようにしてください。所有していないアカウントやユーザーで権限をテストすることはできません。認可回避を見つけようとする場合は、所有アカウントのみを使用してください。

以下の行為は禁止されており、報酬の対象外です。該当する場合、Wallarmアカウントを停止し、IPアドレスをブロックすることがあります:

  • 分散型サービス拒否(DDoS)やその他の大量トラフィック攻撃
  • スパム行為
  • 過度なトラフィックを生成する大規模脆弱性スキャナーやスクレイパー、自動化ツールの使用。※ただし、1ホストに対する単発のNmapスキャンなど許容範囲の自動化ツール使用は可。

サービス拒否攻撃の調査は、以下の条件を満たす場合のみ許可され、報酬対象です:

  • Wallarmが所有する組織やアカウントで行い、貴社自身が所有するユーザーアカウントを使用すること
  • サービスの可用性に影響を与えたと認識した場合はただちにテストを中止してください。脆弱性のフルインパクトを証明する必要はなく、Wallarmのセキュリティチームが影響を判断します。
  • Wallarm Cloudのプライベートインスタンス上で行うサービス拒否脆弱性の調査には制限がありません。

個人情報(PII)の取り扱い

個人情報(PII)には以下が含まれます:

  • 法的に使用される氏名またはフルネーム
  • ユーザー名と電話番号やメールアドレスなどの他の識別情報が組み合わさったもの
  • 健康情報や金融情報(保険情報、社会保障番号など)
  • 政治的・宗教的な所属情報
  • 人種・民族・性的指向・性別など差別に利用されうる個人情報

また:

  • 他人のPIIを意図的に取得しないでください。サービスがPIIアクセスを提供している疑いがある場合は、自身の情報のみにアクセスを制限してください。
  • 脆弱性を発見した場合は即座に報告し、その他のデータにはアクセスしないでください。Wallarmセキュリティチームが範囲と影響を評価します。
  • 返されるデータ量は最小限にしてください。例: SQLインジェクションの場合、戻り行数を制限する。
  • 取得したPIIをできるだけ速やかに削除してください。場合によっては、取得した情報を削除したことの証明や機密保持契約をお願いすることがありますが、報酬には影響しません。
  • 調査時に使用したユーザー名やIPアドレスの提供をお願いする場合があります。

脆弱性の報告

  • security@wallarm.com宛に報告を送付してください。他のメールアドレスやチャット、サポートへの連絡はプログラム対象外となる可能性があります。
  • 再現手順を文章で明確に記載してください。動画のみの説明や再現手順が不十分な場合、報酬対象外となる場合があります。
  • PIIが含まれる脆弱性の場合、どのようなPIIが露出しているかを明記し、報告時にデータをマスクしてください。
  • Wallarmが影響を評価するまで、報告内容を公開しないでください。

プログラムの対象範囲

Wallarmが運営する多くのサービスのうち、以下のドメインのみが報酬対象であり法律のセーフハーバー対象です。他のWallarm所有ドメインは対象外となり、報酬およびセーフハーバーの適用外です:

  • audit.my.wallarm.com
  • apiconsole.audit.wallarm.com
  • audit.api.wallarm.com

注入攻撃、認証・認可の不備、クロスサイトスクリプティング、機密データ露出、権限昇格やその他のセキュリティ問題が報告対象となります。

以下のリソースはプログラムの対象外です:

  • my.wallarm.com
  • api.wallarm.com
  • *.eu1.wallarm.com
  • us1.my.wallarm.com
  • us1.api.wallarm.com
  • *.us1.wallarm.com
  • wallarm.com
  • www.wallarm.com
  • lab.wallarm.com
  • status.wallarm.com
  • changelog.wallarm.com
  • docs.wallarm.com
  • docs.fast.wallarm.com
  • *.demo.wallarm.com

また、報告不要の項目は以下のとおりです:

  • ExcelのCSV数式注入、PDFドキュメント内スクリプト
  • 製品やプロトコルのバージョンのみを指摘し、実際の脆弱性が示されていない報告
  • 実証可能性がない理論上の攻撃
  • DNSSEC、SPF、DKIM、DMARC設定の欠落や誤り
  • 実際のユーザーやシステムへの影響が証明されないCSRFトークン不足、クリックジャッキング対策不足など
  • ユーザー名/メールアドレスの存在確認や列挙
  • セキュリティヘッダーの欠落
  • WallarmのIPアドレスにおける自己署名SSL証明書
  • Atlassian Jira Service Managementのセルフサービスポータル(Wallarm顧客向け)
  • サポートが終了したWebブラウザやシステムに関連する脆弱性
  • サポート期間外の製品バージョンに関する脆弱性
  • パスワードの文字数制限や複雑性要件がないこと
  • クリックジャッキングの実証がないiframe埋め込み
  • 機微でないクッキーに関する不適切なクッキー設定
  • 自動化ツールやサービスからの報告(実証がない場合)
  • エラーページ内のテキストのみのインジェクション
  • 第三者メールプロバイダによる自動ハイパーリンク生成
  • メールエイリアスを用いて複数アカウントを作成する行為

報酬の受け取り

すべての報酬額は当社の深刻度ガイドラインに基づき決定されます:

  • 重大度: Fundamentalセキュリティを侵害する脆弱性(未認証状態での管理者権限取得、リモートコード実行など)はP1として扱われ、通常300ドル以上の報酬を支払います。
  • 最小額: プログラム経由の報告により修正が行われる脆弱性は最低20ドル以上の報酬が支払われる可能性があります。

その他:

  • 重複する報告があった場合、最初に再現可能な形で報告されたもののみ対象となります。
  • 報酬が支払われるかどうかはWallarmの単独裁量で決定されます。いかなる場合も支払義務を負うものではありません。

Wallarmおよびユーザーを安全に保つためにご協力ありがとうございます!

貴社のAPIを守る準備はできましたか?

Wallarmは、迅速な開発と安全な運用を実現するために、貴社をサポートします。

プロダクトツアーデモを受ける