脆弱性開示のポリシー

Zoom のセキュリティ チームは、ユーザーとユーザーのデータを保護することをお約束します。 弊社は、独立したセキュリティ研究コミュニティがインターネットのセキュリティを向上するものだと信じており、発生する可能性のあるセキュリティの問題に関する報告を受けることを歓迎しています。

このポリシーは、セキュリティ研究者が倫理的な研究を行い、Zoom のセキュリティ脆弱性を調整するガイドラインを規定しています。

専門知識を当社と共有するセキュリティ研究者に対して、当社は自社の価値観を反映し、責任感を裏付けるために、このポリシーを開発しています。 発見した潜在的なセキュリティ脆弱性をぜひ当社に報告するようセキュリティ研究者にお願いし、報告された脆弱性を当社が解決して、ユーザーの安全維持を実現しています。

このプログラムは HackerOne でホスティングされており、ソフトウェア セキュリティの協調的な脆弱性情報公開のみを目的としています。

プログラムのルール

  • 潜在的なセキュリティ脆弱性を発見した場合は、すぐ当社にご連絡ください。 ご自身で脆弱性を検証しようとしないでください。
  • ご自身が保有するアクセス アカウントと情報のみを使用してください。
  • 自分のものでないデータを破棄したり修正したりしないでください。
  • Zoom のプロダクトやサービス、あるいは当社のユーザーのパフォーマンスを劣化させないでください。
  • Zoom の従業員、ロケーション、アセットに対してソーシャル エンジニアリング、物理攻撃、DoS 攻撃を行わないでください。
  • HackerOne の開示ガイドライン、この脆弱性開示のポリシー、すべての適用法に従ってください。

範囲

このポリシーは Zoom のプロダクト、サービス、システムが対象です。 研究時には常に、誰のアセットをテストしているかを注意深く確認してください。

Keybase の問題は HackerOne の専任のバグ バウンティ プログラムに報告してください。

ベンダー システムで見つかった脆弱性は、このポリシーの範囲外となるため、独自の開示プログラムを通じて直接、ベンダーに報告する必要があります。

システムが範囲内かどうかがわからない場合、または発見した脆弱性をベンダーに報告するときサポートが必要な場合は、security@zoom.us にお問い合わせください。 喜んでサポートさせていただきます。

セーフハーバー

このポリシーに準拠して行われたアクティビティは、承認済みの行為と見なされ、報告者に対して当社が法的手段に訴えることはありません。 このポリシーに基づいて行われたアクティビティに関連して、サードパーティがお客様に対する訴訟を起こした場合、当社は報告者の行為が当該ポリシーに準拠して行われたものであることを周知する手順を実行します。

範囲外の脆弱性

  • ユーザーのデバイスに対する中間者攻撃または物理攻撃
  • 概念実証(POC)の作業なしの以前より既知の脆弱なライブラリー。
  • 機密性の高いアクションのないページでのクリックジャック
  • 認証されていないフォームまたは機密性の高いアクションのないフォームのクロスサイト リクエスト フォージェリー(CSRF)
  • 脆弱性を示さない CSV インジェクション
  • SSL / TSL 構成のベスト プラクティスの不足
  • サービスの中断(DoS)につながる可能性のあるアクティビティ
  • 攻撃ベクトルを示さないか、HTML / CSS を変更する能力を持たないコンテンツ スプーフィングやテキスト インジェクションの問題
  • 非認証のエンドポイントにおけるレート制限やブルートフォースの問題
  • コンテンツ セキュリティ ポリシーにおけるベスト プラクティスの不足
  • Cookie における HttpOnly またはセキュアフラグの不足。
  • メールのベストプラクティスの不足(無効、不完全、不足の SPF/DKIM/DMARC の記録など)。
  • 古いブラウザやパッチの当てられていないブラウザのユーザーにのみ影響を及ぼす脆弱性(最新の安定版より 2 バージョン以内の安定版)。
  • ソフトウェアのバージョンの開示 / バナーの特定の問題 / 記述的なエラー メッセージやヘッダー(たとえば、スタック トレース、アプリケーション エラー、サーバー エラーなど)。
  • 1 か月未満の間に公式パッチが当てられた外部に公開されているゼロデイ脆弱性は、ケース バイ ケースで報償されます。
  • タブナビング
  • オープン リダイレクト - 追加のセキュリティの影響が示されない限り

脆弱性を報告する方法

弊社は、HackerOneで潜在的なセキュリティの脆弱性の報告を受け取り、そこでそれについてやりとりします。

弊社は、1 営業日以内に報告の受け取りについて認識します。

ご連絡に関するお願い

潜在的な問題をトリアージし、修復するため、次のポイントを守って脆弱性報告書をお送りください。

  • 発見した場所と現実世界への影響を正確に記述しながら脆弱性について説明します。
  • 脆弱性の再現に必要な手順を詳しく説明します(POC、スクリーンショット、ビデオを活用してください)。
  • 脆弱性ごとに 1 件の報告書を作成してください(1 つのキルチェーンを構成する脆弱性は一括)。
  • 悪用される可能性を示す証拠がないまま自動スキャナの結果を報告しないでください。

当社からのお約束

連絡先の情報を当社と共有することを選択された場合は、できる限りオープンかつすばやく調整することをお約束します。

  • 報告が 1 営業日以内に受け取られたことを、弊社は認識します。
  • 当社の能力を最大限利用して、脆弱性が確かに存在していることを皆様に対して明らかにします。また解決が遅れる可能性のある問題や課題も含め、修正プロセスについて極力、透明性を確保してお知らせします。
  • 問題について話し合うオープン ダイアログを維持します。

適格性

Zoom のバグ バウンティ プログラムは、「対象範囲」のプロダクトとサービスに関して、バグの特定と悪用について詳細に説明した脆弱性報告を資格のある個人に促す制度です。 状況によっては、報告を提出したセキュリティ研究者に Zoom が賞金を提供する可能性があります。 あらゆる報告を歓迎しますが、賞金の支払いを受ける資格があるのは、以下の基準を満たす研究者のみとなります。

  • 特定の脆弱性に関して、最初に報告書を提出した研究者に限ります。
  • 脆弱性を個人的に特定するか、全員が Zoom バグ バウンティ プログラムに参加する資格のある研究者チームの一部として業務を行っている際に特定する必要があります。
  • 現在または過去 12 か月間に Zoom、Zoom の子会社または関連会社に雇用されている人は除外されます。
  • 脆弱性を発見し、脆弱性の報告を提出するとき、このポリシーに準拠している必要があります。
  • Zoom から賞金を支給することを禁じる法律が存在しない場合に限ります。

その他の諸条件

Zoom バグ バウンティ プログラムへの参加により、Zoom となんらかの雇用関係またはパートナーシップが結ばれることはありません。 Zoom の従業員あるいは Zoom となんらかの関連を持つ人物の代理人は対象から除外されます。 このプログラムへの参加に関連してすべての適用法に準拠する必要があります。 賞金に関連する適用税は、賞金を受け取る人に納付義務があります。 このプログラムが立ち上げられる前に受け取った脆弱性の報告は、賞金の対象外となり、再報告しても賞金は支給されません。 Zoom から書面で許可を得ない限り、Zoom のロゴ、商標、サービスマークを使用できません。 Zoom は、この文書の更新後のバージョンを投稿することにより、事前の通知なく随時このポリシーを修正する権利を留保します。 Zoom は、事前の通知なく随時このプログラムを終了する権利を留保します。

知的財産

Zoom バグ バウンティ プログラムに参加しても、参加者やその他のサードパーティに Zoom の知的財産、プロダクト、サービスの権利は付与されません。 このポリシー内で付与されない限り、すべての権利は Zoom により明示的に留保されます。 提出された報告に対し賞金が支給されてもされなくても、すべての提出済み脆弱性報告に対するすべての権利、権原、利益は、このポリシーの記載により Zoom に譲渡されます。 更に、提出に対するすべての当該の権利、権原、利益を Zoom に割り当てる権利があることを表明します。また、Zoom バグ バウンティ プログラムへの参加が、雇用主など他のサードパーティと取り交わしている可能性のある契約に違反していないことも表明します。