セキュリティ開示ポリシー

このドキュメントを英語で読むにはこちら

こちらのセキュリティ開示ポリシーは、合同会社LaLoka Labs及びLaLoka Labs OÜにて運営しています。

LaLoka Labsでは、システムのセキュリティを最優先事項として考えています。 しかしながら、現実ではシステムセキュリティにどれだけの努力を払っても、脆弱性が存在する可能性があります。 脆弱性を発見した場合は、以下のガイドラインに従ってセキュリティチームに報告していただければと思います。

こちらのポリシーは、以下掲載しているサービスのみ適用してます。

脆弱性をテストまたは報告するときは、以下のガイドラインに従っていただければと思います。

  • 脆弱性を実証するために必要な量よりも多くのデータをダウンロードするなどして、発見した脆弱性を利用しないでください。
  • 自分のものではないデータを読み取ったり、変更したり、削除したりしないでください。
  • 脆弱性を修正できるままで、第三者に開示しないでください。
  • このポリシーの範囲は、当社のサービスの技術的な脆弱性に限定されています。 物理的セキュリティをテストしたり、従業員に対してフィッシング攻撃を試みたりしないでください。
  • 当社のサービスの利用者に影響が懸念されているため、DoS攻撃を実行したり、ブラックハットSEO技術を利用したり、スパムを送信したり、その他の同様に疑わしいことを行わないでください。 また、大量のトラフィックを自動的に生成する脆弱性テストツールの使用はお勧めしません。
  • 永続的なペイロードやXSSなどを残さないでください。 代わりに、無害なペイロードを使用し、あなたが何をしているかの記録を残し、あなたがとった行動で他人への影響を最小限にして、クリーンアップも忘れなく行ってください!
  • 脆弱性の報告に対する報酬の請求はご遠慮ください。 ご希望の場合は、責任ある開示を公表することは可能です。

当社はお約束できることとして

当社製品のセキュリティ問題の可能性について膨大な量の連絡が寄せられているため、開示への対応方法を変更し、有効で重大かつ再現可能な問題のみに対処することを決定しました。 当社は、有効かつ重要とみなされるものを判断します。
  • いただいた脆弱性レポートは有効で重要でかつ再現可能であると判断した場合のみ評価をお知らせします。
  • 上記のガイドラインに従った場合、当社は報告に関してあなたに対していかなる法的措置も講じません。
  • レポートに対する評価をお知らせすると判断した場合のみ、脆弱性を修正する進捗状況をお知らせします。
  • レポートに対する評価をお知らせすると判断した場合のみ、報告をだしていただいた皆様のご協力に感謝することとともに、このページの下に名前とウェブサイトなどへのリンクを掲載させていただきます。

当社のサービスを安全に保つためのセキュリティ研究者の努力に心から感謝します。

作成 2021-10-28
更新 2022-10-24

コントリビュート一覧

Nikita Patel – LinkedIn
Karan Rathod – LinkedIn
Satyam Singh – LinkedIn